FBot Hack Tool
Felfedezték az FBot nevű, Python használatával kifejlesztett feltörekvő hackereszközt, amely a webszerverek, felhőszolgáltatások, tartalomkezelő rendszerek (CMS) és Software as a Service (SaaS) platformok, például az Amazon Web Services (AWS), a Microsoft beszivárgására összpontosít. 365, PayPal, Sendgrid és Twilio. A figyelemre méltó funkciók magukban foglalják a hitelesítő adatok begyűjtését a spamtámadásokhoz, az AWS-fiókok eltérítését elősegítő eszközöket, valamint a PayPal és különböző SaaS-fiókok elleni támadások végrehajtására szolgáló képességeket.
Tartalomjegyzék
Hasonlóságokat találtunk az FBot Hacking Tool és más rosszindulatú programcsaládok között
Az FBot csatlakozott a felhőhackelő eszközök sorához, mint az AlienFox , a GreenBot (más néven Maintance), a Legion és a Predator . Nevezetesen, az utóbbi négy eszköz kódszintű hasonlóságot mutat az AndroxGh0st-tal.
A kutatók megkülönböztetik az FBot-ot, mint az ezekkel az eszközcsaládokkal kapcsolatos, de azoktól eltérő eszközt. Ellentétben társaival, az FBot nem hivatkozik az AndroxGh0st forráskódjára. Ugyanakkor hasonlóságot mutat a Legionnal, amely az előző évben jelent meg.
Az FBot végső célja a felhő, a Software as a Service (SaaS) és a webszolgáltatások irányítása. Ezt úgy éri el, hogy begyűjti a hitelesítő adatokat, hogy megszerezze a kezdeti hozzáférést, majd a hozzáférést más fenyegetés szereplőinek történő eladásával pénzzé teszi.
Az FBot különféle nem biztonságos tevékenységeket végezhet
Az FBot nemcsak API-kulcsokat generál az AWS-hez és a Sendgridhez, hanem számos funkciót is magában foglal, beleértve a véletlenszerű IP-címek létrehozását, a fordított IP-szkennerek futtatását és a PayPal-fiókok érvényesítését a hozzájuk tartozó e-mail-címekkel együtt.
A szkript inicializálja a PayPal API kérést a hxxps://www.robertkalinkin.com/index.php webhelyen keresztül, amely egy litván divattervező kiskereskedelmi webhelyéhez tartozik. Érdekes módon az összes azonosított FBot minta ezt a webhelyet használja a PayPal API-kérések hitelesítésére, amely viselkedést több Legion Stealer minta is megosztja.
Ezenkívül az FBot tartalmaz AWS-specifikus funkciókat az AWS Simple Email Service (SES) e-mail konfigurációs részleteinek ellenőrzéséhez és a megcélzott fiók EC2 szolgáltatáskvótáinak megállapításához. A Twilio-hoz kapcsolódó funkciókat hasonlóképpen használják a fiókkal kapcsolatos részletek, például az egyenleg, a pénznem és a kapcsolódó telefonszámok összegyűjtésére. A képességek tovább bővülnek, mivel a rosszindulatú program jártas a hitelesítő adatok kinyerésében a Laravel környezeti fájlokból.
Az FBot egy személyre szabott rosszindulatú program lehet
Feljegyezték az FBot Hacking Tool-t használó támadási műveleteket 2022 júliusától 2024 elejéig, ami a vadonban történő folyamatos aktív használatot jelzi. Mindazonáltal az eszköz karbantartási és más szereplők számára történő elosztási módszereinek jelenlegi állapota továbbra is ismeretlen.
Vannak arra utaló jelek, hogy az FBot magánfejlesztési erőfeszítések eredménye lehet, ami arra utal, hogy a közelmúltban készült buildek terjeszthetők egy lokálisabb művelet révén. Ez összhangban van azzal az uralkodó trenddel, hogy a felhőalapú támadási eszközök egyedi vásárlókra szabott, egyedi „privát robotokként” működnek, tükrözve az AlienFox buildjeiben megfigyelt megközelítést.
