Image: Sandro Katalina
Les chercheurs en sécurité ont découvert le premier logiciel malveillant spécifiquement développé pour cibler les environnements cloud Lambda d’Amazon Web Services (AWS) avec des cryptomineurs.
AWS Lambda est une plate-forme informatique sans serveur permettant d’exécuter du code à partir de centaines de services AWS et d’applications SaaS (logiciel en tant que service) sans gérer de serveurs.
Le nouveau malware, surnommé Denonia par les chercheurs de Cado Security qui l’ont repéré utilisé dans des attaques limitées, est un wrapper basé sur Go conçu pour déployer un cryptomineur XMRig personnalisé pour extraire la crypto-monnaie Monero.
L’échantillon ils ont découvert qu’il s’agissait d’un exécutable ELF 64 bits ciblant les systèmes x86-64 téléchargés sur VirusTotal en février. Ils découvrirent plus tard un deuxième échantillon téléchargé un mois plus tôt, en janvier, faisant allusion à ces attaques s’étalant sur au moins deux mois.
« Bien que ce premier échantillon soit assez inoffensif dans la mesure où il n’exécute que des logiciels de crypto-mining, il montre comment les attaquants utilisent des connaissances avancées spécifiques au cloud pour exploiter une infrastructure cloud complexe, et est révélateur d’attaques potentielles futures et plus néfastes », ont déclaré les chercheurs de Cado. mentionné.
Probablement déployé à l’aide de clés volées
Ce que Cado Security n’a pas pu trouver, c’est comment les attaquants ont pu déployer leurs logiciels malveillants sur des environnements compromis.
Cependant, ils soupçonnent que les pirates ont probablement utilisé des clés d’accès et secrètes AWS volées ou divulguées, une tactique précédemment utilisé pour fournir des scripts bash conçu pour télécharger et exécuter des mineurs. Cela a entraîné des frais de 45 000 $ après que le mineur ait été actif pendant quelques semaines.
Cela montre que, bien que de tels environnements d’exécution gérés réduisent la surface d’attaque, des informations d’identification égarées ou volées peuvent entraîner rapidement des pertes financières massives en raison de la détection difficile d’un compromis potentiel.
« Dans le cadre du modèle de responsabilité partagée d’AWS, AWS sécurise l’environnement d’exécution Lambda sous-jacent, mais il appartient au client de sécuriser lui-même les fonctions », ont ajouté les chercheurs.
Aussi à l’aise sur les systèmes Linux
Alors que Denonia a été clairement conçu pour cibler AWS Lambda puisqu’il vérifie les variables d’environnement Lambda avant l’exécution, Cado Security a également constaté qu’il peut fonctionner sans problème sur au moins certains systèmes Linux (par exemple, les boîtiers Amazon Linux).
« Malgré la présence de cela, nous avons découvert lors de l’analyse dynamique que l’échantillon poursuivra avec plaisir son exécution en dehors d’un environnement Lambda (c’est-à-dire sur une boîte Amazon Linux vanille) », ont déclaré les chercheurs.
« Nous pensons que cela est probablement dû aux environnements « sans serveur » Lambda utilisant Linux sous le capot, de sorte que le logiciel malveillant pensait qu’il était exécuté dans Lambda (après avoir défini manuellement les variables d’environnement requises) malgré son exécution dans notre bac à sable. »
Le logiciel malveillant utilise également DNS sur HTTPS (DoH) pour effectuer des recherches DNS via une connexion HTTPS cryptée plutôt que des requêtes DNS en texte brut classiques.
Cela aide à réduire la probabilité de déclenchement de la détection et bloque également les tentatives d’inspection de son trafic malveillant, ne révélant à la place que les connexions aux résolveurs Cloudflare et Google DoH.