FBot Hack Tool
Nastajajoče hekersko orodje, imenovano FBot, razvito s Pythonom, je bilo odkrito s poudarkom na infiltraciji v spletne strežnike, storitve v oblaku, sisteme za upravljanje vsebine (CMS) in platforme programske opreme kot storitve (SaaS), kot so Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgrid in Twilio. Omembe vredne funkcionalnosti vključujejo zbiranje poverilnic za napade z neželeno pošto, orodja, ki omogočajo ugrabitev računov AWS, in zmogljivosti za izvajanje napadov na PayPal in različne račune SaaS.
Kazalo
Najdene podobnosti med orodjem za hekerje FBot in drugimi družinami zlonamerne programske opreme
FBot se je pridružil vrstam orodij za vdiranje v oblak, kot so AlienFox , GreenBot (znan tudi kot Maintance), Legion in Predator . Predvsem zadnja štiri orodja imajo podobnosti na ravni kode z AndroxGh0st.
Raziskovalci razlikujejo FBot kot orodje, ki je povezano s temi družinami orodij, vendar se od njih razlikuje. Za razliko od svojih sorodnikov se FBot ne sklicuje na izvorno kodo AndroxGh0st. Vendar pa kaže podobnosti z Legionom, ki se je pojavil prejšnje leto.
Končni cilj FBot je zavzeti oblak, programsko opremo kot storitev (SaaS) in spletne storitve. To doseže z zbiranjem poverilnic za pridobitev začetnega dostopa in nato ta dostop monetizira s prodajo drugim akterjem groženj.
FBot lahko izvaja različne nevarne dejavnosti
FBot ne ustvarja le ključev API za AWS in Sendgrid, ampak vključuje tudi različne funkcije, vključno z ustvarjanjem naključnih naslovov IP, izvajanjem povratnih skenerjev IP in preverjanjem računov PayPal skupaj z njihovimi povezanimi e-poštnimi naslovi.
Skript inicializira zahtevo PayPal API prek spletnega mesta hxxps://www.robertkalinkin.com/index.php, ki pripada maloprodajnemu mestu litovskega modnega oblikovalca. Zanimivo je, da vsi identificirani vzorci FBot uporabljajo to spletno stran za preverjanje pristnosti zahtev API-ja PayPal, kar je vedenje, ki je enako več vzorcem Legion Stealer.
Poleg tega FBot vključuje funkcije, specifične za AWS, za pregled podrobnosti konfiguracije e-pošte AWS Simple Email Service (SES) in ugotavljanje kvot storitve EC2 ciljnega računa. Funkcionalnost, povezana s Twiliom, se podobno uporablja za zbiranje podrobnosti o računu, kot so stanje, valuta in povezane telefonske številke. Zmogljivosti se še dodatno razširijo, saj je zlonamerna programska oprema vešča pridobivanja poverilnic iz datotek okolja Laravel.
FBot je morda orodje za zlonamerno programsko opremo po meri
Od julija 2022 do začetka leta 2024 so bili opaženi incidenti napadov z uporabo FBot Hacking Tool, kar kaže na stalno aktivno uporabo v naravi. Kljub temu trenutni status glede vzdrževanja orodja in načinov distribucije drugim akterjem ostaja neznan.
Obstajajo znaki, ki kažejo, da je FBot morda rezultat zasebnih razvojnih prizadevanj, kar pomeni, da bi se nedavne različice lahko razširjale z bolj lokaliziranim delovanjem. To se ujema s prevladujočim trendom orodij za napade v oblaku, ki delujejo kot "zasebni roboti" po meri, prilagojeni posameznim kupcem, kar odraža pristop, opažen v različicah AlienFox.
