FBot Hack Tool
Một công cụ hack mới nổi có tên FBot, được phát triển bằng Python, đã được phát hiện với trọng tâm là xâm nhập vào máy chủ web, dịch vụ đám mây, Hệ thống quản lý nội dung (CMS) và các nền tảng Phần mềm dưới dạng dịch vụ (SaaS) như Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgrid và Twilio. Các chức năng đáng chú ý bao gồm thu thập thông tin xác thực cho các cuộc tấn công gửi thư rác, các công cụ hỗ trợ chiếm đoạt tài khoản AWS và khả năng thực hiện các cuộc tấn công vào PayPal và các tài khoản SaaS khác nhau.
Mục lục
Điểm tương đồng được tìm thấy giữa Công cụ hack FBot và các dòng phần mềm độc hại khác
FBot đã gia nhập hàng ngũ các công cụ hack đám mây như AlienFox , GreenBot (còn gọi là Maintance), Legion và Predator . Đáng chú ý là bốn công cụ sau có điểm tương đồng về cấp độ mã với AndroxGh0st.
Các nhà nghiên cứu phân biệt FBot như một công cụ có liên quan nhưng khác biệt với các họ công cụ này. Không giống như các đối tác của nó, FBot không tham chiếu bất kỳ mã nguồn nào từ AndroxGh0st. Tuy nhiên, nó có những điểm tương đồng với Legion, xuất hiện vào năm trước.
Mục tiêu cuối cùng của FBot là chiếm quyền điều khiển đám mây, Phần mềm dưới dạng dịch vụ (SaaS) và các dịch vụ Web. Nó đạt được điều này bằng cách thu thập thông tin đăng nhập để có được quyền truy cập ban đầu và sau đó kiếm tiền từ quyền truy cập này bằng cách bán nó cho các tác nhân đe dọa khác.
FBot có thể thực hiện nhiều hoạt động không an toàn khác nhau
FBot không chỉ tạo khóa API cho AWS và Sendgrid mà còn kết hợp nhiều chức năng khác nhau, bao gồm tạo địa chỉ IP ngẫu nhiên, chạy máy quét IP ngược và xác thực tài khoản PayPal cùng với địa chỉ email được liên kết của chúng.
Tập lệnh khởi tạo yêu cầu API PayPal thông qua trang web hxxps://www.robertkalinkin.com/index.php, thuộc trang web bán lẻ của một nhà thiết kế thời trang người Litva. Điều thú vị là tất cả các mẫu FBot được xác định đều sử dụng trang web này để xác thực các yêu cầu API PayPal, một hành vi được chia sẻ bởi một số mẫu Legion Stealer.
Hơn nữa, FBot bao gồm các tính năng dành riêng cho AWS để kiểm tra chi tiết cấu hình email Dịch vụ email đơn giản (SES) của AWS và xác định hạn ngạch dịch vụ EC2 của tài khoản được nhắm mục tiêu. Chức năng liên quan đến Twilio được sử dụng tương tự để thu thập thông tin chi tiết về tài khoản, chẳng hạn như số dư, tiền tệ và số điện thoại được liên kết. Các khả năng này còn mở rộng hơn nữa vì phần mềm độc hại có khả năng trích xuất thông tin xác thực từ các tệp môi trường Laravel rất thành thạo.
FBot có thể là một công cụ phần mềm độc hại được tạo tùy chỉnh
Các sự cố về hoạt động tấn công sử dụng Công cụ hack FBot đã được ghi nhận, kéo dài từ tháng 7 năm 2022 đến đầu năm 2024, cho thấy việc sử dụng đang diễn ra tích cực trên thực tế. Tuy nhiên, tình trạng hiện tại liên quan đến phương pháp bảo trì và phân phối công cụ này cho các tác nhân khác vẫn chưa được biết.
Có những dấu hiệu cho thấy FBot có thể là kết quả của những nỗ lực phát triển tư nhân, ngụ ý rằng các phiên bản gần đây có thể được phổ biến thông qua hoạt động mang tính bản địa hóa hơn. Điều này phù hợp với xu hướng phổ biến của các công cụ tấn công đám mây hoạt động như 'bot riêng' được thiết kế riêng cho từng người mua, phản ánh cách tiếp cận được quan sát thấy trong các bản dựng AlienFox.
