FBot Hack Tool
Odkryto nowe narzędzie hakerskie o nazwie FBot, opracowane przy użyciu języka Python, koncentrujące się na infiltracji serwerów internetowych, usług w chmurze, systemów zarządzania treścią (CMS) i platform oprogramowania jako usługi (SaaS), takich jak Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgrid i Twilio. Na uwagę zasługują funkcjonalności obejmujące pozyskiwanie danych uwierzytelniających na potrzeby ataków spamowych, narzędzia ułatwiające przejmowanie kont AWS oraz możliwości przeprowadzania ataków na PayPal i różne konta SaaS.
Spis treści
Znaleziono podobieństwa między narzędziem hakerskim FBot a innymi rodzinami złośliwego oprogramowania
FBot dołączył do grona narzędzi do hakowania w chmurze, takich jak AlienFox , GreenBot (znany również jako Maintance), Legion i Predator . Warto zauważyć, że te cztery ostatnie narzędzia mają podobieństwa na poziomie kodu z AndroxGh0st.
Badacze wyróżniają FBota jako narzędzie powiązane z tymi rodzinami narzędzi, ale różniące się od nich. W przeciwieństwie do swoich odpowiedników, FBot nie odwołuje się do żadnego kodu źródłowego z AndroxGh0st. Wykazuje jednak podobieństwa do Legionu, który pojawił się w poprzednim roku.
Ostatecznym celem FBota jest przejęcie kontroli nad chmurą, oprogramowaniem jako usługą (SaaS) i usługami internetowymi. Osiąga to poprzez zbieranie danych uwierzytelniających w celu uzyskania początkowego dostępu, a następnie zarabia na tym dostępie, sprzedając go innym podmiotom zagrażającym.
FBot może wykonywać różne niebezpieczne działania
FBot nie tylko generuje klucze API dla AWS i Sendgrid, ale także zawiera szereg funkcji, w tym tworzenie losowych adresów IP, uruchamianie skanerów zwrotnych IP i sprawdzanie poprawności kont PayPal wraz z powiązanymi z nimi adresami e-mail.
Skrypt inicjuje żądanie API PayPal za pośrednictwem strony internetowej hxxps://www.robertkalinkin.com/index.php, która należy do witryny sprzedaży detalicznej litewskiego projektanta mody. Co ciekawe, wszystkie zidentyfikowane próbki FBota wykorzystują tę witrynę do uwierzytelniania żądań API PayPal, co jest zachowaniem charakterystycznym dla kilku próbek Legion Stealer.
Co więcej, FBot zawiera funkcje specyficzne dla AWS, umożliwiające sprawdzanie szczegółów konfiguracji poczty elektronicznej AWS Simple Email Service (SES) i ustalanie limitów usług EC2 dla docelowego konta. Funkcjonalność związana z Twilio jest podobnie wykorzystywana do zbierania szczegółowych informacji o koncie, takich jak saldo, waluta i powiązane numery telefonów. Możliwości są jeszcze większe, ponieważ szkodliwe oprogramowanie potrafi skutecznie wyodrębniać dane uwierzytelniające z plików środowiska Laravel.
FBot może być niestandardowym narzędziem do usuwania złośliwego oprogramowania
Odnotowano przypadki ataków z wykorzystaniem narzędzia hakerskiego FBot, które miały miejsce od lipca 2022 r. do początku 2024 r., co wskazuje na ciągłe aktywne wykorzystanie narzędzia w środowisku naturalnym. Niemniej jednak obecny stan dotyczący metod konserwacji narzędzia i dystrybucji wśród innych podmiotów pozostaje nieznany.
Istnieją oznaki sugerujące, że FBot może być efektem prywatnych wysiłków rozwojowych, co sugeruje, że najnowsze kompilacje mogą być rozpowszechniane poprzez bardziej zlokalizowane operacje. Jest to zgodne z dominującym trendem, zgodnie z którym narzędzia do ataków w chmurze działają jako „prywatne boty” szyte na miarę, dostosowane do potrzeb indywidualnych nabywców, odzwierciedlając podejście obserwowane w kompilacjach AlienFox.
