FBot Hack Tool
Новый хакерский инструмент под названием FBot, разработанный с использованием Python, был обнаружен с целью проникновения на веб-серверы, облачные сервисы, системы управления контентом (CMS) и платформы программного обеспечения как услуги (SaaS), такие как Amazon Web Services (AWS), Microsoft. 365, PayPal, Sendgrid и Twilio. Примечательные функциональные возможности включают сбор учетных данных для спам-атак, инструменты, способствующие взлому учетных записей AWS, а также возможности выполнения атак на PayPal и различные учетные записи SaaS.
Оглавление
Обнаружено сходство между инструментом взлома FBot и другими семействами вредоносных программ
FBot пополнил ряды инструментов облачного взлома, таких как AlienFox , GreenBot (также известный как Maintance), Legion и Predator . Примечательно, что последние четыре инструмента имеют сходство на уровне кода с AndroxGh0st.
Исследователи выделяют FBot как инструмент, родственный этим семействам инструментов, но отличающийся от них. В отличие от своих аналогов, FBot не ссылается на исходный код AndroxGh0st. Тем не менее, он действительно имеет сходство с Легионом, который появился в прошлом году.
Конечная цель FBot — управлять облаком, программным обеспечением как услугой (SaaS) и веб-сервисами. Это достигается путем сбора учетных данных для получения первоначального доступа и последующей монетизации этого доступа путем продажи его другим субъектам угроз.
FBot может выполнять различные небезопасные действия
FBot не только генерирует ключи API для AWS и Sendgrid, но также включает в себя множество функций, включая создание случайных IP-адресов, запуск обратных сканеров IP и проверку учетных записей PayPal вместе с связанными с ними адресами электронной почты.
Скрипт инициализирует запрос API PayPal через веб-сайт hxxps://www.robertkalinkin.com/index.php, который принадлежит сайту розничных продаж литовского модельера. Любопытно, что все идентифицированные образцы FBot используют этот веб-сайт для аутентификации запросов API PayPal, и такое же поведение характерно для нескольких образцов Legion Stealer.
Кроме того, FBot включает в себя специальные функции AWS для проверки деталей конфигурации электронной почты AWS Simple Email Service (SES) и определения квот службы EC2 целевой учетной записи. Функциональность, связанная с Twilio, аналогичным образом используется для сбора сведений об учетной записи, таких как баланс, валюта и связанные номера телефонов. Возможности расширяются, поскольку вредоносное ПО умеет извлекать учетные данные из файлов среды Laravel.
FBot может быть специально разработанным вредоносным инструментом
Были отмечены случаи атак с использованием FBot Hacking Tool, охватывающие период с июля 2022 года по начало 2024 года, что указывает на продолжающееся активное использование. Тем не менее, текущий статус в отношении методов обслуживания и распространения инструмента среди других участников остается неизвестным.
Есть признаки того, что FBot может быть результатом частных усилий по разработке, а это означает, что последние сборки могут распространяться посредством более локализованной операции. Это согласуется с преобладающей тенденцией, когда инструменты облачных атак функционируют как индивидуальные «частные боты», адаптированные для индивидуальных покупателей, что отражает подход, наблюдаемый в сборках AlienFox.
