FBot yra naujas kenkėjiškų įrankių taikymo AWS

Neseniai atrastas įsilaužimo įrankis FBot, sukurtas Python, dabar skirtas įvairioms internetinėms paslaugoms, įskaitant žiniatinklio serverius, debesų platformas, turinio valdymo sistemas ir programinę įrangą, kaip paslaugų platformas, tokias kaip Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgridas ir Twilio.

Pasak saugumo tyrinėtojo Alexo Delamotte'o, FBot yra aprūpintas įvairiomis funkcijomis, tokiomis kaip kredencialų rinkimas už nepageidaujamų elektroninių laiškų atakas, įrankiai AWS paskyroms užgrobti ir funkcijos, leidžiančios atakas prieš PayPal ir skirtingas SaaS paskyras. Delamotte pranešė apie šias išvadas dokumente, kuris buvo pasidalintas su IT saugumo padaliniu „The Hacker News“.

Nors FBot prisijungia prie kitų debesų įsilaužimo įrankių, tokių kaip AlienFox, GreenBot (taip pat žinomas kaip priežiūra), Legion ir Predator, gretų, jis išsiskiria tuo, kad jame nėra nuorodos į jokį AndroxGh0st šaltinio kodą. Nors FBot turi panašumų su Legionu, kuris pirmą kartą buvo nustatytas praėjusiais metais, FBot laikomas atskiru subjektu.

Pagrindinis FBot tikslas yra pakenkti debesies, SaaS ir žiniatinklio paslaugoms, gauti pradinę prieigą renkant kredencialus. Tada įsilaužėliai siekia užsidirbti pinigų iš šios prieigos, parduodant ją kitiems kibernetinių nusikaltimų ekosistemos dalyviams.

FBot yra gerai įrengtas

FBot siūlo daugybę funkcijų, įskaitant API raktų generavimą AWS ir Sendgrid, taip pat galimybes sukurti atsitiktinius IP adresus, paleisti atvirkštinius IP skaitytuvus ir patvirtinti PayPal paskyras kartu su susijusiais el. pašto adresais.

Įdomu tai, kad FBot naudojamas scenarijus inicijuoja PayPal API užklausas per svetainę „hxxps://www.robertkalinkin.com/index.php“, kuri yra Lietuvos mados dizainerio mažmeninės prekybos svetainė. Tai autentifikavimo metodas, nuosekliai naudojamas visuose FBot pavyzdžiuose ir kai kuriuose Legion Stealer pavyzdžiuose.

Be to, FBot apima specifines AWS funkcijas, skirtas patikrinti AWS paprastos el. pašto paslaugos (SES) el. pašto konfigūracijos informaciją ir nustatyti tikslinės paskyros EC2 paslaugų kvotas. Taip pat yra su „Twilio“ susijusios funkcijos, leidžiančios rinkti informaciją apie sąskaitą, įskaitant likutį, valiutą ir prijungtus telefono numerius.

Be to, FBot turi galimybę išgauti kredencialus iš Laravel aplinkos failų. Tyrėjai nustatė FBot mėginius, datuotus 2022 m. liepos mėn., ir tai rodo aktyvų naudojimą laukinėje gamtoje. Tačiau lieka neaišku, ar įrankis yra aktyviai prižiūrimas ir kaip jis paskirstomas kitiems grėsmės veikėjams.