アマゾン ウェブ サービス(AWS)のLambdaクラウド環境を標的とし、cryptominersを用いて特別に開発されたマルウェアを初めて発見されたことがわかりました。
AWS Lambdaは、サーバーを管理することなく、何百ものAWSサービスやSaaS(Software as a Service)アプリのコードを実行するためのサーバーレス・コンピューティング・プラットフォームです。
限定的な攻撃で使用されているのを発見したCado SecurityがDenoniaと名付けたこの新しいマルウェアは、Monero暗号通貨をマイニングするためにカスタムXMRigクリプトマイナーを展開するよう設計されたGoベースのラッパーです。
今回発見されたサンプルは、2月にVirusTotalにアップロードされたx86-64システムをターゲットとする64ビットのELF実行ファイルで、1カ月前の1月にアップロードされた2番目のサンプルを発見しており、これらの攻撃は少なくとも数カ月間にわたって行われていることを示唆しています。
この最初のサンプルは、クリプトマイニング・ソフトウェアを実行しているだけという点で、かなり無害ですが、攻撃者が複雑なクラウドインフラを悪用するために、高度なクラウド特有の知識をいかに利用しているかを示しており、将来のより悪質な攻撃の可能性を示唆しています
盗まれた鍵を使用して展開された可能性が高い
Cado Securityは、攻撃者が侵害された環境にどのようにマルウェアを展開したのかについて、明らかにすることができませんでした。
これは、以前マイナーをダウンロードし実行するように設計されたbashスクリプトを配信するために使用された手法です。
このような管理された実行環境は攻撃対象領域を減少させるものの、誤った場所に置かれたり盗まれたりした認証情報は潜在的な侵害の検知が困難なため、すぐに巨額の金銭的損失につながる可能性があることを表しています。
AWS Shared Responsibilityモデルの下では、AWSは基礎となるLambda実行環境を保護しますが、機能自体を保護するのはお客様次第です
Linuxシステムにも対応
Denoniaは実行前にLambdaの環境変数をチェックするため、明らかにAWS Lambdaをターゲットに設計されていますが、Cado Securityは少なくとも一部のLinuxシステム(Amazon Linuxボックスなど)で問題なく実行できることも確認しています。
また、このマルウェアは、DNS over HTTPS (DoH) を使用して、通常のプレーンテキスト DNS クエリではなく、暗号化された HTTPS 接続上で DNS ルックアップを実行します。
また悪意のあるトラフィックを検査する試みをブロックし、CloudflareとGoogleのDoHリゾルバへの接続のみを明らかにします。
Comments