FBot Hack Tool
Ένα αναδυόμενο εργαλείο πειρατείας με το όνομα FBot, που αναπτύχθηκε με χρήση Python, ανακαλύφθηκε με έμφαση σε διείσδυση σε διακομιστές ιστού, υπηρεσίες cloud, Συστήματα Διαχείρισης Περιεχομένου (CMS) και Λογισμικό ως Υπηρεσία (SaaS) πλατφόρμες όπως το Amazon Web Services (AWS), η Microsoft 365, PayPal, Sendgrid και Twilio. Οι αξιοσημείωτες λειτουργίες περιλαμβάνουν συλλογή διαπιστευτηρίων για επιθέσεις ανεπιθύμητης αλληλογραφίας, εργαλεία που διευκολύνουν την παραβίαση λογαριασμών AWS και δυνατότητες εκτέλεσης επιθέσεων στο PayPal και σε διάφορους λογαριασμούς SaaS.
Πίνακας περιεχομένων
Βρέθηκαν ομοιότητες μεταξύ του FBot Hacking Tool και άλλων οικογενειών κακόβουλου λογισμικού
Το FBot έχει ενταχθεί στις τάξεις των εργαλείων hacking στο cloud, όπως το AlienFox , το GreenBot (γνωστό και ως Maintance), το Legion και το Predator . Συγκεκριμένα, τα τέσσερα τελευταία εργαλεία μοιράζονται ομοιότητες σε επίπεδο κώδικα με το AndroxGh0st.
Οι ερευνητές διακρίνουν το FBot ως εργαλείο που σχετίζεται, αλλά διαφέρει από αυτές τις οικογένειες εργαλείων. Σε αντίθεση με τους ομολόγους του, το FBot δεν αναφέρεται σε κανέναν πηγαίο κώδικα από το AndroxGh0st. Ωστόσο, παρουσιάζει ομοιότητες με το Legion, το οποίο εμφανίστηκε το προηγούμενο έτος.
Ο απώτερος στόχος του FBot είναι να διαχειρίζεται το cloud, το Software as a Service (SaaS) και τις υπηρεσίες Web. Αυτό το επιτυγχάνει συλλέγοντας διαπιστευτήρια για να αποκτήσει αρχική πρόσβαση και στη συνέχεια δημιουργεί έσοδα από αυτήν την πρόσβαση πουλώντας την σε άλλους παράγοντες απειλής.
Το FBot μπορεί να εκτελέσει διάφορες μη ασφαλείς δραστηριότητες
Το FBot όχι μόνο δημιουργεί κλειδιά API για AWS και Sendgrid, αλλά ενσωματώνει επίσης μια ποικιλία λειτουργιών, όπως η δημιουργία τυχαίων διευθύνσεων IP, η εκτέλεση σαρωτών αντίστροφης IP και η επικύρωση λογαριασμών PayPal μαζί με τις σχετικές διευθύνσεις email τους.
Το σενάριο αρχικοποιεί το αίτημα του PayPal API μέσω του ιστότοπου hxxps://www.robertkalinkin.com/index.php, ο οποίος ανήκει στον ιστότοπο λιανικών πωλήσεων ενός Λιθουανού σχεδιαστή μόδας. Είναι ενδιαφέρον ότι όλα τα αναγνωρισμένα δείγματα FBot χρησιμοποιούν αυτόν τον ιστότοπο για τον έλεγχο ταυτότητας αιτημάτων PayPal API, μια συμπεριφορά που μοιράζονται πολλά δείγματα Legion Stealer.
Επιπλέον, το FBot περιλαμβάνει χαρακτηριστικά ειδικά για το AWS για να επιθεωρήσει τις λεπτομέρειες διαμόρφωσης email της υπηρεσίας απλής ηλεκτρονικής αλληλογραφίας AWS (SES) και να εξακριβώσει τα ποσοστά υπηρεσιών EC2 του στοχευμένου λογαριασμού. Η λειτουργία που σχετίζεται με το Twilio χρησιμοποιείται παρομοίως για τη συλλογή λεπτομερειών σχετικά με τον λογαριασμό, όπως το υπόλοιπο, το νόμισμα και τους συνδεδεμένους αριθμούς τηλεφώνου. Οι δυνατότητες επεκτείνονται περαιτέρω, καθώς το κακόβουλο λογισμικό είναι ικανό στην εξαγωγή διαπιστευτηρίων από αρχεία περιβάλλοντος Laravel.
Το FBot μπορεί να είναι ένα προσαρμοσμένο εργαλείο κακόβουλου λογισμικού
Έχουν σημειωθεί περιστατικά επιχειρήσεων επίθεσης που χρησιμοποιούν το FBot Hacking Tool, που εκτείνονται από τον Ιούλιο του 2022 έως τις αρχές του 2024, υποδεικνύοντας τη συνεχιζόμενη ενεργή χρήση στην άγρια φύση. Ωστόσο, η τρέχουσα κατάσταση σχετικά με τις μεθόδους συντήρησης και διανομής του εργαλείου σε άλλους φορείς παραμένει άγνωστη.
Υπάρχουν ενδείξεις που υποδηλώνουν ότι το FBot μπορεί να προκύψει από προσπάθειες ιδιωτικής ανάπτυξης, υπονοώντας ότι οι πρόσφατες κατασκευές θα μπορούσαν να διαδοθούν μέσω μιας πιο τοπικής λειτουργίας. Αυτό ευθυγραμμίζεται με την κυρίαρχη τάση των εργαλείων επίθεσης στο cloud που λειτουργούν ως εξατομικευμένα «ιδιωτικά bots» προσαρμοσμένα για μεμονωμένους αγοραστές, αντικατοπτρίζοντας την προσέγγιση που παρατηρείται στις εκδόσεις AlienFox.
