FBot Hack Tool

人們發現了一種名為FBot 的新興駭客工具，它是使用Python 開發的，其重點是滲透Web 伺服器、雲端服務、內容管理系統(CMS) 和軟體即服務(SaaS) 平台，例如Amazon Web Services ( AWS)、Microsoft 365、PayPal、Sendgrid 和 Twilio。值得注意的功能包括針對垃圾郵件攻擊的憑證收集、促進劫持 AWS 帳戶的工具以及對 PayPal 和各種 SaaS 帳戶執行攻擊的功能。

FBot 駭客工具與其他惡意軟體系列之間存在相似之處

FBot 已加入AlienFox 、GreenBot（也稱為 Mainance）、Legion 和Predator等雲端駭客工具的行列。值得注意的是，後四個工具與 AndroxGh0st 具有代碼級相似之處。

研究人員將 FBot 區分為與這些工具系列相關但不同的工具。與同類產品不同，FBot 不引用 AndroxGh0st 的任何原始碼。然而，它確實與去年出現的《軍團》有相似之處。

FBot 的最終目標是佔領雲端、軟體即服務 (SaaS) 和 Web 服務。它透過取得憑證來獲得初始存取權限，然後透過將其出售給其他威脅參與者來貨幣化這種存取權限，從而實現這一目標。

FBot 可以執行各種不安全活動

FBot 不僅為 AWS 和 Sendgrid 產生 API 金鑰，還包含多種功能，包括建立隨機 IP 位址、執行反向 IP 掃描器以及驗證 PayPal 帳戶及其關聯的電子郵件位址。

該腳本透過網站 hxxps://www.robertkalinkin.com/index.php 初始化 PayPal API 請求，該網站屬於立陶宛時裝設計師的零售網站。有趣的是，所有已識別的 FBot 樣本均使用該網站來驗證 PayPal API 請求，這是多個 Legion Stealer 樣本所共有的行為。

此外，FBot 還包含 AWS 特定功能，用於檢查 AWS Simple Email Service (SES) 電子郵件配置詳細資訊並確定目標帳戶的 EC2 服務配額。 Twilio 相關功能同樣用於收集有關帳戶的詳細信息，例如餘額、貨幣和連結的電話號碼。由於惡意軟體能夠熟練地從 Laravel 環境檔案中提取憑證，因此功能進一步擴展。

FBot 可能是客製化的惡意軟體工具

從 2022 年 7 月到 2024 年初，使用 FBot 駭客工具進行攻擊的事件已被注意到，這表明該工具在野外持續活躍使用。然而，該工具的維護和向其他參與者的分發方法的當前狀態仍然未知。

有跡象表明 FBot 可能是私人開發努力的結果，這意味著最近的建置可以透過更本地化的操作進行傳播。這符合雲端攻擊工具作為為個人買家量身定制的「私人機器人」的流行趨勢，反映了 AlienFox 構建中觀察到的方法。