FBot Hack Tool

Python을 사용하여 개발된 FBot이라는 새로운 해킹 도구가 웹 서버, 클라우드 서비스, 콘텐츠 관리 시스템(CMS), Amazon Web Services(AWS), Microsoft와 같은 SaaS(Software as a Service) 플랫폼에 침투하는 데 중점을 두고 발견되었습니다. 365, PayPal, Sendgrid 및 Twilio. 주목할만한 기능에는 스팸 공격을 위한 자격 증명 수집, AWS 계정 하이재킹을 촉진하는 도구, PayPal 및 다양한 SaaS 계정에 대한 공격을 실행하는 기능이 포함됩니다.

FBot 해킹 도구와 기타 악성코드 계열 사이에서 발견된 유사점

FBot은 AlienFox , GreenBot(Maintance라고도 함), Legion 및 Predator 와 같은 클라우드 해킹 도구 대열에 합류했습니다. 특히 후자의 네 가지 도구는 AndroxGh0st와 코드 수준 유사성을 공유합니다.

연구원들은 FBot을 이러한 도구 계열과 관련이 있지만 구별되는 도구로 구별합니다. FBot은 다른 제품과 달리 AndroxGh0st의 소스 코드를 참조하지 않습니다. 그러나 전년도에 등장한 Legion과 유사점을 보여줍니다.

FBot의 궁극적인 목표는 클라우드, SaaS(Software as a Service) 및 웹 서비스를 장악하는 것입니다. 이는 초기 액세스 권한을 얻기 위해 자격 증명을 수집하고 이후 다른 위협 행위자에게 이 액세스 권한을 판매하여 수익을 창출함으로써 이를 달성합니다.

FBot은 안전하지 않은 다양한 활동을 수행할 수 있습니다.

FBot은 AWS 및 Sendgrid용 API 키를 생성할 뿐만 아니라 임의 IP 주소 생성, 역방향 IP 스캐너 실행, PayPal 계정과 관련 이메일 주소 확인 등 다양한 기능을 통합합니다.

스크립트는 리투아니아 패션 디자이너의 소매 판매 사이트에 속하는 웹사이트 hxxps://www.robertkalinkin.com/index.php를 통해 PayPal API 요청을 초기화합니다. 흥미롭게도 확인된 모든 FBot 샘플은 여러 Legion Stealer 샘플에서 공유하는 동작인 PayPal API 요청을 인증하기 위해 이 웹사이트를 사용합니다.

또한 FBot에는 AWS Simple Email Service(SES) 이메일 구성 세부 정보를 검사하고 대상 계정의 EC2 서비스 할당량을 확인하는 AWS 관련 기능이 포함되어 있습니다. Twilio 관련 기능은 잔액, 통화, 연결된 전화번호 등 계정에 대한 세부정보를 수집하는 데에도 유사하게 사용됩니다. 악성코드가 Laravel 환경 파일에서 자격 증명을 추출하는 데 능숙하므로 기능이 더욱 확장됩니다.

FBot은 맞춤형 악성코드 도구일 수 있습니다.

2022년 7월부터 2024년 초까지 FBot 해킹 도구를 사용한 공격 작전 사건이 기록되었으며, 이는 야생에서 계속해서 활발하게 사용되고 있음을 나타냅니다. 그럼에도 불구하고 도구의 유지 관리 및 다른 행위자에 대한 배포 방법에 관한 현재 상태는 알려지지 않았습니다.

FBot이 민간 개발 노력으로 인해 발생할 수 있다는 징후가 있으며, 이는 최근 빌드가 보다 현지화된 작업을 통해 전파될 수 있음을 암시합니다. 이는 AlienFox 빌드에서 관찰된 접근 방식을 반영하여 개별 구매자를 위한 맞춤형 '개인 봇'으로 작동하는 클라우드 공격 도구의 일반적인 추세와 일치합니다.