FBot Hack Tool
Avastati Pythoni abil välja töötatud tärkav häkkimistööriist nimega FBot, mis keskendub veebiserveritesse, pilveteenustesse, sisuhaldussüsteemidesse (CMS) ja Software as a Service (SaaS) platvormidesse, nagu Amazon Web Services (AWS), Microsoft. 365, PayPal, Sendgrid ja Twilio. Märkimisväärsed funktsioonid hõlmavad rämpspostirünnakute mandaadi kogumist, tööriistu, mis hõlbustavad AWS-i kontode kaaperdamist, ning võimalusi PayPali ja erinevate SaaS-i kontode rünnakute sooritamiseks.
Sisukord
FBoti häkkimistööriista ja muude pahavaraperekondade vahel leitud sarnasused
FBot on liitunud pilvehäkkimise tööriistade ridadega, nagu AlienFox , GreenBot (tuntud ka kui Maintance), Legion ja Predator . Nimelt jagavad viimased neli tööriista kooditasemel sarnasusi AndroxGh0st-ga.
Teadlased eristavad FBoti tööriistana, mis on nende tööriistaperekondadega seotud, kuid neist erinev. Erinevalt oma kolleegidest ei viita FBot ühelegi AndroxGh0st lähtekoodile. Siiski on sellel sarnasusi eelmisel aastal ilmunud Legioniga.
FBoti lõppeesmärk on hallata pilve, tarkvara kui teenust (SaaS) ja veebiteenuseid. Ta saavutab selle mandaatide kogumisega, et saada esmane juurdepääs, ja seejärel teenib see juurdepääsu rahaks, müües selle teistele ohus osalejatele.
FBot võib teha mitmesuguseid ohtlikke tegevusi
FBot mitte ainult ei genereeri API-võtmeid AWS-i ja Sendgridi jaoks, vaid sisaldab ka mitmesuguseid funktsioone, sealhulgas juhuslike IP-aadresside loomist, pöörd-IP-skannerite käitamist ja PayPali kontode valideerimist koos nendega seotud e-posti aadressidega.
Skript initsialiseerib PayPali API päringu veebisaidi hxxps://www.robertkalinkin.com/index.php kaudu, mis kuulub Leedu moelooja jaemüügi saidile. Huvitaval kombel kasutavad kõik tuvastatud FBoti näidised seda veebisaiti PayPali API päringute autentimiseks, mida jagavad mitmed Legion Stealeri näidised.
Lisaks sisaldab FBot AWS-i spetsiifilisi funktsioone, et kontrollida AWS Simple Email Service (SES) e-posti konfiguratsiooni üksikasju ja teha kindlaks sihitud konto EC2 teenusekvoodid. Twilioga seotud funktsioone kasutatakse samamoodi konto üksikasjade kogumiseks, nagu saldo, valuuta ja seotud telefoninumbrid. Võimalused laienevad veelgi, kuna pahavara oskab Laraveli keskkonnafailidest mandaadi välja võtta.
FBot võib olla kohandatud pahavara tööriist
Täheldatud on FBoti häkkimistööriista kasutavaid ründejuhtumeid, mis ulatuvad 2022. aasta juulist 2024. aasta alguseni, mis viitab jätkuvale aktiivsele kasutamisele looduses. Sellegipoolest on tööriista hoolduse ja teistele osalejatele levitamismeetodite praegune seis teadmata.
On märke, mis viitavad sellele, et FBot võib tuleneda erasektori arendustegevusest, mis viitab sellele, et hiljutisi versioone võiks levitada lokaalsema toimingu kaudu. See ühtib valitseva trendiga, et pilveründetööriistad toimivad individuaalsetele ostjatele kohandatud "privaatsete robotitena", peegeldades AlienFoxi ehitustes täheldatud lähenemisviisi.
