FBot Hack Tool
Було виявлено новий хакерський інструмент під назвою FBot, розроблений з використанням Python, який спрямований на проникнення на веб-сервери, хмарні служби, системи керування вмістом (CMS) і платформи програмного забезпечення як послуги (SaaS), як-от Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgrid і Twilio. Варті уваги функції включають збір облікових даних для спам-атак, інструменти, що полегшують викрадення облікових записів AWS, і можливості для виконання атак на PayPal і різні облікові записи SaaS.
Зміст
Виявлено схожість між інструментом злому FBot та іншими сімействами шкідливих програм
FBot приєднався до рядів інструментів хмарного злому, таких як AlienFox , GreenBot (також відомий як Maintance), Legion і Predator . Примітно, що останні чотири інструменти на рівні коду схожі з AndroxGh0st.
Дослідники виділяють FBot як інструмент, пов’язаний із цими сімействами інструментів, але відмінний від них. На відміну від своїх аналогів, FBot не посилається на вихідний код AndroxGh0st. Однак він демонструє схожість із Legion, який з’явився минулого року.
Кінцева мета FBot — контролювати хмару, програмне забезпечення як послугу (SaaS) і веб-сервіси. Він досягає цього, збираючи облікові дані для отримання початкового доступу та згодом монетизуючи цей доступ, продаючи його іншим суб’єктам загрози.
FBot може виконувати різні небезпечні дії
FBot не лише генерує ключі API для AWS і Sendgrid, але також включає різноманітні функції, включаючи створення випадкових IP-адрес, запуск зворотних IP-сканерів і перевірку облікових записів PayPal разом із пов’язаними з ними адресами електронної пошти.
Сценарій ініціалізує запит API PayPal через веб-сайт hxxps://www.robertkalinkin.com/index.php, який належить сайту роздрібних продажів литовського модельєра. Цікаво, що всі ідентифіковані зразки FBot використовують цей веб-сайт для автентифікації запитів API PayPal, поведінку, яку спільне з кількома зразками Legion Stealer.
Крім того, FBot містить спеціальні функції AWS для перевірки деталей конфігурації електронної пошти AWS Simple Email Service (SES) і визначення квот служби EC2 для цільового облікового запису. Функціональність, пов’язана з Twilio, так само використовується для збору деталей про обліковий запис, таких як баланс, валюта та пов’язані номери телефонів. Можливості розширюються, оскільки зловмисне програмне забезпечення вправно витягує облікові дані з файлів середовища Laravel.
FBot може бути спеціально створеним інструментом шкідливого ПЗ
З липня 2022 року до початку 2024 року було зафіксовано випадки атак із використанням FBot Hacking Tool, що вказує на постійне активне використання в дикій природі. Тим не менш, поточний статус щодо підтримки інструменту та методів розповсюдження іншим учасникам залишається невідомим.
Є ознаки, які свідчать про те, що FBot може бути результатом приватних зусиль щодо розробки, тобто останні збірки можуть поширюватися через більш локалізовану операцію. Це узгоджується з переважаючою тенденцією, коли інструменти хмарної атаки функціонують як індивідуальні «приватні боти», створені для окремих покупців, віддзеркалюючи підхід, який спостерігається у збірках AlienFox.
