Görüntü: Sandra Dark
Güvenlik araştırmacıları, özellikle Amazon web hizmetleri (AWS) Lambda bulut ortamlarını kriptominerlerle hedeflemek için özel olarak geliştirilen ilk kötü amaçlı yazılımları keşfettiler.
AWS LAMBDA, Sunucuları yönetmeden, yüzlerce AWS hizmetinden ve yazılımdan bir hizmet (SaaS) uygulamaları olarak kod yapmak için sunucusız bir bilgi işlem platformudur.
Yeni kötü amaçlı yazılımlar, Sınırlı saldırılarda kullanıldığını tespit eden Cado Güvenlik Araştırmacıları tarafından Denonya Dubbed, Monero Cryptocurrency için özel bir XMRIG Cryptominer'ı dağıtmak için tasarlanmış go bazlı bir sarmalayıcıdır.
Buldukları örnek, Şubat ayında Virustotal'a yüklenen X86-64 sistemleri X86-64 sistemleri hedefleyen 64 bitlik bir elf çalıştırılabilirdi. Daha sonra, bir ay önce, Ocak ayında bir ay önce yüklenen ikinci bir örnek buldular, bu saldırılara en az birkaç ay süren saldırılara işaret etti.
"Bu ilk örnek, yalnızca kripto-madencilik yazılımını çalıştırdığında, saldırganların karmaşık bulut altyapısını kullanmak için gelişmiş bulutlara özgü bilgi kullandıklarını ve potansiyel geleceğin, daha nefret edilen saldırıların bir göstergesi olduğunu gösteriyor. dedim.
Cado güvenliğinin bulamadığı şey, saldırganların kötü amaçlı yazılımlarını tehlikeye atılan ortamlara nasıl dağıtabildikleridir.
Bununla birlikte, bilgisayar korsanlarının, çalınan veya sızdıran AWS erişimini ve gizli anahtarları, daha önce Madencileri indirmek ve çalıştırmak için tasarlanmış Bash scriptlerini sunmak için kullanılan bir taktik kullandığından şüpheleniyorlar. Bu, madenci birkaç hafta aktif olduktan sonra 45.000 ABD Doları'na yol açtı.
Bu, bu tür yönetilen çalışma zamanı ortamları saldırı yüzeyini azaltırken, yanlış yerleştirilmiş veya çalınan kimlik bilgileri, potansiyel bir uzlaşmanın zor tespiti nedeniyle hızlı bir şekilde büyük finansal kayıplara neden olabilir.
"AWS Paylaşılan Sorumluluk Modeli uyarınca, AWS, altta yatan Lambda yürütme ortamını güvence altına aldı, ancak araştırmacıların kendilerini güvence altına almak için müşteriye kalmış".
Denonia, AWS Lambda'yı hedeflemek için açıkça tasarlanmış olsa da, uygulamadan önce Lambda ortamı değişkenlerini kontrol ettiğinden, Cado Security ayrıca en azından bazı Linux sistemlerinde (örneğin, Amazon Linux kutuları) sorunsuz çalışabileceğini buldu.
Araştırmacılar, "Bunun varlığına rağmen, bunun varlığına rağmen, bir Lambda ortamının (yani bir vanilya Amazon Linux kutusunda) bir Lambda ortamının (yani bir vanilya Amazon Linux kutusunda) yürütmeye devam edeceğinin dinamik analizleri keşfettik." Dedi.
"Bunun," Linux'u kaputun altındaki Linux'u kullanan lambda "sunucusız" ortamlarından kaynaklandığından şüpheleniyoruz, bu nedenle kötü amaçlı yazılımlar Kumbada'da çalıştırılmasına rağmen (gerekli ortam değişkenlerini elle ayarladıktan sonra). "
Kötü amaçlı yazılım ayrıca, Düzenli Düz Metin DNS sorguları yerine, DNS Aramalarının DNS Aramaları'nu gerçekleştirmek için HTTPS (DOH) üzerinde DNS kullanır.
Bu, tetikleme tespitinin olasılığını azaltmaya yardımcı olur ve ayrıca kötü niyetli trafiğini inceleme girişimlerini de engeller, bunun yerine sadece CloudFlare ve Google DOH çözümleyicilerine bağlantıları ortaya çıkarmaktadır.
Stealthy Crypto Madencilik Saldırılarında Kullanılan Verblecon Malware Yükleyici
Yeni Linux Botnet, LOG4J'leri sömürüyor, Comms için DNS tünel kullanıyor
Amazon: Hayır Kuruluşları, Ukrayna'da Yardım Orgları Kötü Amaçlı Yazılımlara Saldırdı
Rusya-Ukrayna Savaşı, kötü amaçlı yazılım dağıtım için yem olarak sömürüldü
Microsoft: Ukrayna, işgal öncesi Foxblade kötü amaçlı yazılım saatleriyle vurdu.
Kaynak: Bleeping Computer