FBot er et nyt ondsindet værktøj, der målretter mod AWS

Et nyligt opdaget hackingværktøj ved navn FBot, udviklet i Python, er nu rettet mod en række onlinetjenester, herunder webservere, cloudplatforme, indholdsstyringssystemer og software-as-a-service-platforme som Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgrid og Twilio.

Ifølge sikkerhedsforsker Alex Delamotte er FBot udstyret med forskellige funktioner såsom indsamling af legitimationsoplysninger til spammingangreb, værktøjer til at kapre AWS-konti og funktioner, der muliggør angreb på PayPal og forskellige SaaS-konti. Delamotte rapporterede disse resultater i et dokument, der blev delt med it-sikkerhedsstedet The Hacker News.

Mens FBot slutter sig til rækken af andre cloud-hackingværktøjer som AlienFox, GreenBot (også kendt som Maintance), Legion og Predator, skiller det sig ud som distinkt på grund af dens manglende reference til enhver kildekode fra AndroxGh0st. Selvom det deler ligheder med Legion, som først blev identificeret sidste år, betragtes FBot som en separat enhed.

Det primære mål med FBot er at kompromittere cloud-, SaaS- og webtjenester og opnå indledende adgang ved at høste legitimationsoplysninger. Hackerne søger derefter at tjene penge på denne adgang ved at sælge den til andre aktører i cyberkriminalitetsøkosystemet.

FBot kommer veludstyret

FBot tilbyder en række funktioner, herunder generering af API-nøgler til AWS og Sendgrid, samt muligheder for at producere tilfældige IP-adresser, køre omvendte IP-scannere og validere PayPal-konti sammen med tilhørende e-mail-adresser.

Interessant nok starter scriptet, der bruges af FBot, PayPal API-anmodninger gennem webstedet "hxxps://www.robertkalinkin.com/index.php", som er et detailsalgswebsted for en litauisk modedesigner. Dette er den autentificeringsmetode, der konsekvent anvendes af alle identificerede FBot-prøver og nogle Legion Stealer-prøver.

Desuden inkorporerer FBot AWS-specifikke funktioner til at kontrollere AWS Simple Email Service (SES) e-mailkonfigurationsdetaljer og bestemme den målrettede kontos EC2-servicekvoter. Twilio-relateret funktionalitet er også til stede for at indsamle oplysninger om kontoen, herunder saldo, valuta og tilknyttede telefonnumre.

Derudover har FBot mulighed for at udtrække legitimationsoplysninger fra Laravel-miljøfiler. Forskere har identificeret FBot-prøver, der går tilbage til juli 2022, hvilket indikerer aktiv brug i naturen. Det er dog fortsat uklart, om værktøjet vedligeholdes aktivt, og hvordan det fordeles blandt andre trusselsaktører.