FBot Hack Tool
Et nye hackingverktøy kalt FBot, utviklet med Python, har blitt oppdaget med fokus på infiltrerende webservere, skytjenester, Content Management Systems (CMS) og Software as a Service (SaaS) plattformer som Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgrid og Twilio. Bemerkelsesverdige funksjoner omfatter innhenting av legitimasjon for spam-angrep, verktøy som letter kapring av AWS-kontoer og muligheter til å utføre angrep på PayPal og ulike SaaS-kontoer.
Innholdsfortegnelse
Likheter funnet mellom FBot Hacking Tool og andre skadelig programvarefamilier
FBot har sluttet seg til rekken av nettskyhackingverktøy som AlienFox , GreenBot (også kjent som Maintance), Legion og Predator . Spesielt deler de fire sistnevnte verktøyene likheter på kodenivå med AndroxGh0st.
Forskere skiller FBot som et verktøy relatert til, men forskjellig fra, disse verktøyfamiliene. I motsetning til sine motparter refererer ikke FBot til noen kildekode fra AndroxGh0st. Imidlertid viser den likheter med Legion, som dukket opp året før.
Det endelige målet med FBot er å styre skyen, Software as a Service (SaaS) og webtjenester. Den oppnår dette ved å hente inn legitimasjon for å få innledende tilgang og tjener deretter penger på denne tilgangen ved å selge den til andre trusselaktører.
FBot kan utføre ulike utrygge aktiviteter
FBot genererer ikke bare API-nøkler for AWS og Sendgrid, men inkluderer også en rekke funksjoner, inkludert opprettelse av tilfeldige IP-adresser, kjøre omvendte IP-skannere og validere PayPal-kontoer sammen med tilhørende e-postadresser.
Skriptet initialiserer PayPal API-forespørselen via nettstedet hxxps://www.robertkalinkin.com/index.php, som tilhører en litauisk motedesigners detaljsalgsside. Interessant nok bruker alle identifiserte FBot-prøver denne nettsiden for å autentisere PayPal API-forespørsler, en oppførsel som deles av flere Legion Stealer-prøver.
Dessuten inkluderer FBot AWS-spesifikke funksjoner for å inspisere AWS Simple Email Service (SES) e-postkonfigurasjonsdetaljer og fastslå EC2-tjenestekvotene til den målrettede kontoen. Den Twilio-relaterte funksjonaliteten brukes på samme måte for å samle detaljer om kontoen, for eksempel saldo, valuta og tilknyttede telefonnumre. Mulighetene strekker seg lenger, siden skadelig programvare er dyktig i å trekke ut legitimasjon fra Laravel-miljøfiler.
FBot kan være et spesiallaget skadelig programvareverktøy
Hendelser med angrepsoperasjoner som bruker FBot Hacking Tool har blitt registrert, fra juli 2022 til begynnelsen av 2024, noe som indikerer pågående aktiv bruk i naturen. Likevel er den nåværende statusen for verktøyets vedlikehold og distribusjonsmetoder til andre aktører ukjent.
Det er tegn som tyder på at FBot kan være et resultat av privat utviklingsinnsats, noe som antyder at nyere bygg kan spres gjennom en mer lokalisert operasjon. Dette samsvarer med den rådende trenden med skyangrepsverktøy som fungerer som skreddersydde "private bots" skreddersydd for individuelle kjøpere, og speiler tilnærmingen observert i AlienFox-bygg.
