FBot Hack Tool
Jauns hakeru rīks FBot, kas izstrādāts, izmantojot Python, ir atklāts, koncentrējoties uz iefiltrēšanos tīmekļa serveros, mākoņpakalpojumos, satura pārvaldības sistēmās (CMS) un programmatūras kā pakalpojuma (SaaS) platformās, piemēram, Amazon Web Services (AWS), Microsoft. 365, PayPal, Sendgrid un Twilio. Ievērības cienīgas funkcijas ietver akreditācijas datu iegūšanu surogātpasta uzbrukumiem, rīkus, kas atvieglo AWS kontu nolaupīšanu, un iespējas veikt uzbrukumus PayPal un dažādiem SaaS kontiem.
Satura rādītājs
Atrastas līdzības starp FBot uzlaušanas rīku un citām ļaunprātīgas programmatūras ģimenēm
FBot ir pievienojies mākoņu uzlaušanas rīku rindām, piemēram, AlienFox , GreenBot (pazīstams arī kā Maintance), Legion un Predator . Proti, pēdējiem četriem rīkiem ir koda līmeņa līdzības ar AndroxGh0st.
Pētnieki izšķir FBot kā rīku, kas ir saistīts ar šīm rīku saimēm, bet atšķiras no tām. Atšķirībā no saviem kolēģiem, FBot neatsaucas uz avota kodu no AndroxGh0st. Tomēr tam ir līdzības ar Leģionu, kas parādījās iepriekšējā gadā.
FBot galvenais mērķis ir pārvaldīt mākoni, programmatūru kā pakalpojumu (SaaS) un tīmekļa pakalpojumus. Tas tiek panākts, ievācot akreditācijas datus, lai iegūtu sākotnējo piekļuvi, un pēc tam monetizē šo piekļuvi, pārdodot to citiem apdraudējuma dalībniekiem.
FBot var veikt dažādas nedrošas darbības
FBot ne tikai ģenerē API atslēgas AWS un Sendgrid, bet arī ietver dažādas funkcijas, tostarp nejaušu IP adrešu izveidi, reverso IP skeneru darbināšanu un PayPal kontu apstiprināšanu kopā ar ar tiem saistītajām e-pasta adresēm.
Skripts inicializē PayPal API pieprasījumu, izmantojot vietni hxxps://www.robertkalinkin.com/index.php, kas pieder Lietuvas modes dizainera mazumtirdzniecības vietnei. Interesanti, ka visos identificētajos FBot paraugos šī vietne tiek izmantota PayPal API pieprasījumu autentifikācijai, kas ir kopīga vairākiem Legion Stealer paraugiem.
Turklāt FBot ietver AWS specifiskas funkcijas, lai pārbaudītu AWS vienkāršā e-pasta pakalpojuma (SES) e-pasta konfigurācijas informāciju un noskaidrotu mērķa konta EC2 pakalpojumu kvotas. Ar Twilio saistītā funkcionalitāte tiek izmantota, lai apkopotu informāciju par kontu, piemēram, atlikumu, valūtu un saistītos tālruņu numurus. Iespējas tiek paplašinātas vēl vairāk, jo ļaunprogrammatūra prot iegūt akreditācijas datus no Laravel vides failiem.
FBot var būt pēc pasūtījuma izgatavots ļaunprātīgas programmatūras rīks
Ir konstatēti uzbrukuma operācijas, kurās tika izmantots FBot uzlaušanas rīks, laika posmā no 2022. gada jūlija līdz 2024. gada sākumam, kas liecina par nepārtrauktu aktīvu izmantošanu savvaļā. Tomēr pašreizējais statuss attiecībā uz rīka uzturēšanu un izplatīšanas metodēm citiem dalībniekiem joprojām nav zināms.
Ir pazīmes, kas liecina, ka FBot var rasties privātu attīstības centienu rezultātā, kas liecina, ka nesenās versijas varētu izplatīt, izmantojot lokālāku darbību. Tas atbilst dominējošajai tendencei, ka mākoņa uzbrukuma rīki darbojas kā īpaši pielāgoti “privātie robotprogrammatūras”, kas ir pielāgoti atsevišķiem pircējiem, atspoguļojot pieeju, kas novērota AlienFox būvējumos.
