FBot Hack Tool

เครื่องมือแฮ็กที่เกิดขึ้นใหม่ชื่อว่า FBot ซึ่งพัฒนาโดยใช้ Python ถูกค้นพบโดยมุ่งเน้นไปที่การแทรกซึมเว็บเซิร์ฟเวอร์ บริการคลาวด์ ระบบจัดการเนื้อหา (CMS) และแพลตฟอร์มซอฟต์แวร์เป็นบริการ (SaaS) เช่น Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgrid และ Twilio ฟังก์ชันการทำงานที่น่าสนใจ ได้แก่ การเก็บเกี่ยวข้อมูลประจำตัวสำหรับการโจมตีด้วยสแปม เครื่องมือที่อำนวยความสะดวกในการไฮแจ็กบัญชี AWS และความสามารถในการดำเนินการโจมตีใน PayPal และบัญชี SaaS ต่างๆ

ความคล้ายคลึงกันที่พบระหว่างเครื่องมือแฮ็ก FBot และตระกูลมัลแวร์อื่นๆ

FBot ได้เข้าร่วมในกลุ่มเครื่องมือแฮ็กบนคลาวด์เช่น AlienFox , GreenBot (หรือที่รู้จักในชื่อ Maintance), Legion และ Predator โดยเฉพาะอย่างยิ่ง เครื่องมือสี่อย่างหลังมีความคล้ายคลึงกันระดับโค้ดกับ AndroxGh0st

นักวิจัยแยกแยะว่า FBot เป็นเครื่องมือที่เกี่ยวข้อง แต่แตกต่างจากตระกูลเครื่องมือเหล่านี้ แตกต่างจากคู่แข่งตรงที่ FBot ไม่ได้อ้างอิงซอร์สโค้ดใดๆ จาก AndroxGh0st อย่างไรก็ตาม มันมีความคล้ายคลึงกับ Legion ซึ่งปรากฏเมื่อปีที่แล้ว

วัตถุประสงค์สูงสุดของ FBot คือการควบคุมระบบคลาวด์ ซอฟต์แวร์ในรูปแบบบริการ (SaaS) และบริการบนเว็บ โดยสามารถบรรลุผลดังกล่าวได้โดยการเก็บเกี่ยวข้อมูลประจำตัวเพื่อให้สามารถเข้าถึงครั้งแรกได้ จากนั้นจึงสร้างรายได้จากการเข้าถึงนี้โดยการขายให้กับผู้คุกคามรายอื่น

FBot สามารถทำกิจกรรมที่ไม่ปลอดภัยต่างๆ ได้

FBot ไม่เพียงแต่สร้างคีย์ API สำหรับ AWS และ Sendgrid เท่านั้น แต่ยังรวมเอาฟังก์ชันการทำงานที่หลากหลาย รวมถึงการสร้างที่อยู่ IP แบบสุ่ม การเรียกใช้เครื่องสแกน IP แบบย้อนกลับ และการตรวจสอบความถูกต้องของบัญชี PayPal พร้อมกับที่อยู่อีเมลที่เกี่ยวข้อง

สคริปต์เริ่มต้นคำขอ PayPal API ผ่านทางเว็บไซต์ hxxps://www.robertkalinkin.com/index.php ซึ่งเป็นของไซต์ขายปลีกของนักออกแบบแฟชั่นชาวลิทัวเนีย น่าประหลาดใจที่ตัวอย่าง FBot ที่ระบุทั้งหมดใช้เว็บไซต์นี้เพื่อตรวจสอบคำขอ PayPal API ซึ่งเป็นพฤติกรรมที่ใช้ร่วมกันโดยตัวอย่าง Legion Stealer หลายตัวอย่าง

นอกจากนี้ FBot ยังมีคุณสมบัติเฉพาะของ AWS เพื่อตรวจสอบรายละเอียดการกำหนดค่าอีเมล AWS Simple Email Service (SES) และยืนยันโควต้าบริการ EC2 ของบัญชีเป้าหมาย ฟังก์ชันที่เกี่ยวข้องกับ Twilio นั้นใช้เพื่อรวบรวมรายละเอียดเกี่ยวกับบัญชี เช่น ยอดคงเหลือ สกุลเงิน และหมายเลขโทรศัพท์ที่เชื่อมโยง ความสามารถดังกล่าวขยายออกไปอีก เนื่องจากมัลแวร์มีความเชี่ยวชาญในการแยกข้อมูลประจำตัวออกจากไฟล์สภาพแวดล้อม Laravel

FBot อาจเป็นเครื่องมือมัลแวร์ที่สั่งทำพิเศษ

เหตุการณ์การโจมตีโดยใช้เครื่องมือแฮ็ก FBot ได้รับการบันทึกไว้ตั้งแต่เดือนกรกฎาคม 2565 ถึงต้นปี 2567 ซึ่งบ่งบอกถึงการใช้งานอย่างต่อเนื่องในป่า อย่างไรก็ตาม สถานะปัจจุบันเกี่ยวกับวิธีการบำรุงรักษาและการแจกจ่ายเครื่องมือให้กับนักแสดงรายอื่นยังไม่เป็นที่ทราบแน่ชัด

มีสัญญาณบ่งชี้ว่า FBot อาจเป็นผลมาจากความพยายามในการพัฒนาภาคเอกชน ซึ่งหมายความว่าสิ่งก่อสร้างล่าสุดสามารถเผยแพร่ผ่านการดำเนินการที่มีการแปลเป็นภาษาท้องถิ่นมากขึ้น สิ่งนี้สอดคล้องกับแนวโน้มทั่วไปของเครื่องมือโจมตีบนคลาวด์ที่ทำงานเป็น 'บอทส่วนตัว' ที่ออกแบบเป็นพิเศษสำหรับผู้ซื้อแต่ละราย ซึ่งสะท้อนแนวทางที่พบใน AlienFox builds