FBot Hack Tool

人们发现了一种名为 FBot 的新兴黑客工具，它是使用 Python 开发的，其重点是渗透 Web 服务器、云服务、内容管理系统 (CMS) 和软件即服务 (SaaS) 平台，例如 Amazon Web Services (AWS)、Microsoft 365、PayPal、Sendgrid 和 Twilio。值得注意的功能包括垃圾邮件攻击的凭证收集、促进劫持 AWS 帐户的工具以及对 PayPal 和各种 SaaS 帐户执行攻击的功能。

FBot 黑客工具与其他恶意软件系列之间存在相似之处

FBot 已加入AlienFox 、GreenBot（也称为 Mainance）、Legion 和Predator等云黑客工具的行列。值得注意的是，后四个工具与 AndroxGh0st 具有代码级相似之处。

研究人员将 FBot 区分为与这些工具系列相关但又不同的工具。与同类产品不同，FBot 不引用 AndroxGh0st 的任何源代码。然而，它确实与去年出现的《军团》有相似之处。

FBot 的最终目标是占领云、软件即服务 (SaaS) 和 Web 服务。它通过获取凭证来获得初始访问权限，然后通过将其出售给其他威胁参与者来货币化这种访问权限，从而实现这一目标。

FBot 可以执行各种不安全活动

FBot 不仅为 AWS 和 Sendgrid 生成 API 密钥，还包含多种功能，包括创建随机 IP 地址、运行反向 IP 扫描器以及验证 PayPal 帐户及其关联的电子邮件地址。

该脚本通过网站 hxxps://www.robertkalinkin.com/index.php 初始化 PayPal API 请求，该网站属于立陶宛时装设计师的零售网站。有趣的是，所有已识别的 FBot 样本均使用该网站来验证 PayPal API 请求，这是多个 Legion Stealer 样本所共有的行为。

此外，FBot 还包含 AWS 特定功能，用于检查 AWS Simple Email Service (SES) 电子邮件配置详细信息并确定目标账户的 EC2 服务配额。 Twilio 相关功能同样用于收集有关帐户的详细信息，例如余额、货币和链接的电话号码。由于恶意软件能够熟练地从 Laravel 环境文件中提取凭据，因此功能进一步扩展。

FBot 可能是定制的恶意软件工具

从 2022 年 7 月到 2024 年初，使用 FBot 黑客工具进行攻击的事件已被注意到，这表明该工具在野外持续活跃使用。然而，该工具的维护和向其他参与者的分发方法的当前状态仍然未知。

有迹象表明 FBot 可能是私人开发努力的结果，这意味着最近的构建可以通过更本地化的操作进行传播。这符合云攻击工具作为为个人买家量身定制的“私人机器人”的流行趋势，反映了 AlienFox 构建中观察到的方法。