FBot Hack Tool
Buvo atrastas naujas įsilaužimo įrankis, pavadintas FBot, sukurtas naudojant Python, daugiausia dėmesio skiriant žiniatinklio serverių, debesų paslaugų, turinio valdymo sistemų (TVS) ir programinės įrangos kaip paslaugos (SaaS) platformoms, pvz., Amazon Web Services (AWS), Microsoft. 365, PayPal, Sendgrid ir Twilio. Pažymėtinos funkcijos apima kredencialų rinkimą, skirtą šlamšto atakoms, įrankius, palengvinančius AWS paskyrų užgrobimą, ir galimybes vykdyti atakas prieš PayPal ir įvairias SaaS paskyras.
Turinys
FBot įsilaužimo įrankio ir kitų kenkėjiškų programų šeimų panašumai
FBot prisijungė prie debesų įsilaužimo įrankių, tokių kaip AlienFox , GreenBot (taip pat žinomas kaip Maintance), Legion ir Predator, gretų. Pažymėtina, kad pastarieji keturi įrankiai turi kodo lygio panašumų su AndroxGh0st.
Mokslininkai išskiria FBot kaip įrankį, susijusį su šiomis įrankių šeimomis, bet nuo jų skirtingą. Skirtingai nei jo kolegos, FBot nenurodo jokio AndroxGh0st šaltinio kodo. Tačiau jis turi panašumų su Legionu, kuris pasirodė praėjusiais metais.
Galutinis FBot tikslas yra valdyti debesį, programinę įrangą kaip paslaugą (SaaS) ir žiniatinklio paslaugas. Jis tai pasiekia rinkdamas kredencialus, kad gautų pradinę prieigą, ir vėliau uždirba iš šios prieigos, parduodamas ją kitiems grėsmės subjektams.
FBot gali atlikti įvairią nesaugią veiklą
FBot ne tik generuoja API raktus, skirtus AWS ir Sendgrid, bet ir apima įvairias funkcijas, įskaitant atsitiktinių IP adresų kūrimą, atvirkštinių IP skaitytuvų paleidimą ir PayPal paskyrų patvirtinimą kartu su susijusiais el. pašto adresais.
Scenarijus inicijuoja PayPal API užklausą per svetainę hxxps://www.robertkalinkin.com/index.php, kuri priklauso Lietuvos mados dizainerio mažmeninės prekybos svetainei. Įdomu tai, kad visuose identifikuotuose FBot pavyzdžiuose ši svetainė naudojama PayPal API užklausoms autentifikuoti – tokia elgsena dalijasi keli Legion Stealer pavyzdžiai.
Be to, FBot apima specifines AWS funkcijas, skirtas patikrinti AWS paprastosios el. pašto paslaugos (SES) el. pašto konfigūracijos informaciją ir nustatyti tikslinės paskyros EC2 paslaugų kvotas. Su „Twilio“ susijusi funkcija taip pat naudojama norint surinkti informaciją apie paskyrą, pvz., likutį, valiutą ir susietus telefono numerius. Galimybės dar labiau išplečiamos, nes kenkėjiška programa įgudusi išgauti kredencialus iš Laravel aplinkos failų.
FBot gali būti specialiai sukurtas kenkėjiškų programų įrankis
Buvo pastebėti atakų operacijų, kuriose naudojamas FBot įsilaužimo įrankis, atvejai, trukę nuo 2022 m. liepos mėn. iki 2024 m. pradžios, o tai rodo, kad gamtoje jie aktyviai naudojami. Nepaisant to, dabartinė įrankio priežiūros ir platinimo kitiems veikėjams padėtis lieka nežinoma.
Yra ženklų, rodančių, kad FBot gali atsirasti dėl privačių plėtros pastangų, o tai reiškia, kad naujausios versijos gali būti platinamos atliekant labiau lokalizuotą veiklą. Tai atitinka vyraujančią tendenciją, kad debesų atakos įrankiai veikia kaip individualiems pirkėjams pritaikyti „privatūs robotai“, atspindintys „AlienFox“ kūrimo metodą.
