FBot Hack Tool
Python kullanılarak geliştirilen FBot adlı yeni bir bilgisayar korsanlığı aracı, web sunucularına, bulut hizmetlerine, İçerik Yönetim Sistemlerine (CMS) ve Amazon Web Hizmetleri (AWS), Microsoft gibi Hizmet Olarak Yazılım (SaaS) platformlarına sızmaya odaklanarak keşfedildi. 365, PayPal, Sendgrid ve Twilio. Dikkate değer işlevler arasında spam saldırıları için kimlik bilgileri toplama, AWS hesaplarının ele geçirilmesini kolaylaştıran araçlar ve PayPal ile çeşitli SaaS hesaplarına saldırı gerçekleştirme yetenekleri yer alıyor.
İçindekiler
FBot Hacking Tool ile Diğer Kötü Amaçlı Yazılım Aileleri Arasında Bulunan Benzerlikler
FBot, AlienFox , GreenBot (Maintance olarak da bilinir), Legion ve Predator gibi bulut hackleme araçlarının saflarına katıldı. Özellikle son dört aracın AndroxGh0st ile kod düzeyinde benzerlikler paylaşması dikkat çekicidir.
Araştırmacılar FBot'u bu araç aileleriyle ilişkili ancak onlardan farklı bir araç olarak ayırıyor. Benzerlerinden farklı olarak FBot, AndroxGh0st'tan herhangi bir kaynak koduna referans vermez. Ancak önceki yıl ortaya çıkan Legion ile benzerlikler gösteriyor.
FBot'un nihai hedefi buluta, Hizmet Olarak Yazılıma (SaaS) ve Web hizmetlerine el koymaktır. Bunu, ilk erişim elde etmek için kimlik bilgilerini toplayarak ve daha sonra bu erişimi diğer tehdit aktörlerine satarak paraya çevirerek başarır.
FBot Çeşitli Güvenli Olmayan Faaliyetler Gerçekleştirebilir
FBot yalnızca AWS ve Sendgrid için API anahtarları oluşturmakla kalmaz, aynı zamanda rastgele IP adresleri oluşturma, ters IP tarayıcıları çalıştırma ve PayPal hesaplarını ilişkili e-posta adresleriyle birlikte doğrulama gibi çeşitli işlevleri de içerir.
Komut dosyası, Litvanyalı bir moda tasarımcısının perakende satış sitesine ait olan hxxps://www.robertkalinkin.com/index.php web sitesi aracılığıyla PayPal API isteğini başlatır. İlginç bir şekilde, tanımlanan tüm FBot örnekleri, çeşitli Legion Stealer örnekleri tarafından paylaşılan bir davranış olan PayPal API isteklerinin kimliğini doğrulamak için bu web sitesini kullanıyor.
Ayrıca FBot, AWS Basit E-posta Hizmeti (SES) e-posta yapılandırma ayrıntılarını incelemek ve hedeflenen hesabın EC2 hizmet kotalarını tespit etmek için AWS'ye özgü özellikler içerir. Twilio ile ilgili işlevsellik, benzer şekilde hesapla ilgili bakiye, para birimi ve bağlantılı telefon numaraları gibi ayrıntıları toplamak için kullanılır. Kötü amaçlı yazılım, Laravel ortam dosyalarından kimlik bilgilerini ayıklama konusunda uzman olduğundan, yetenekler daha da genişliyor.
FBot Özel Yapım Kötü Amaçlı Yazılım Aracı Olabilir
Temmuz 2022'den 2024'ün başına kadar FBot Hacking Tool'un kullanıldığı saldırı operasyonları vakaları kaydedildi, bu da vahşi ortamda aktif kullanımın devam ettiğini gösteriyor. Ancak aracın bakım ve diğer aktörlere dağıtım yöntemlerine ilişkin mevcut durum bilinmiyor.
FBot'un özel geliştirme çabalarından kaynaklanabileceğini gösteren işaretler var ve bu da yeni yapılanmaların daha yerelleştirilmiş bir operasyonla yaygınlaştırılabileceğini ima ediyor. Bu, AlienFox yapılarında gözlemlenen yaklaşımı yansıtacak şekilde, bireysel alıcılar için özel olarak tasarlanmış 'özel botlar' olarak işlev gören bulut saldırı araçlarına yönelik hakim eğilimle uyumludur.
