FBot to nowe złośliwe narzędzie atakujące AWS

Niedawno odkryte narzędzie hakerskie o nazwie FBot, opracowane w języku Python, atakuje obecnie szereg usług online, w tym serwery internetowe, platformy chmurowe, systemy zarządzania treścią i platformy oprogramowania jako usługi, takie jak Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgrid i Twilio.

Według badacza bezpieczeństwa Alexa Delamotte'a FBot jest wyposażony w różne funkcje, takie jak zbieranie danych uwierzytelniających na potrzeby ataków spamowych, narzędzia do przejmowania kont AWS oraz funkcje umożliwiające ataki na PayPal i różne konta SaaS. Delamotte poinformował o tych odkryciach w dokumencie udostępnionym dziennikowi zajmującemu się bezpieczeństwem IT The Hacker News.

Chociaż FBot dołącza do grona innych narzędzi do hakowania w chmurze, takich jak AlienFox, GreenBot (znany również jako Maintance), Legion i Predator, wyróżnia się brakiem odniesienia do jakiegokolwiek kodu źródłowego AndroxGh0st. Chociaż FBot jest podobny do Legionu, który został po raz pierwszy zidentyfikowany w zeszłym roku, FBot jest uważany za odrębną jednostkę.

Głównym celem FBota jest włamanie się do usług chmurowych, SaaS i internetowych, uzyskując początkowy dostęp poprzez zbieranie danych uwierzytelniających. Następnie hakerzy starają się zarobić na tym dostępie, sprzedając go innym podmiotom ekosystemu cyberprzestępczości.

FBot jest dobrze wyposażony

FBot oferuje szereg funkcji, w tym generowanie kluczy API dla AWS i Sendgrid, a także możliwości generowania losowych adresów IP, uruchamiania skanerów zwrotnych IP i sprawdzania kont PayPal wraz z powiązanymi adresami e-mail.

Co ciekawe, skrypt używany przez FBot inicjuje żądania PayPal API za pośrednictwem strony internetowej „hxxps://www.robertkalinkin.com/index.php”, która jest witryną sprzedaży detalicznej litewskiego projektanta mody. Jest to metoda uwierzytelniania konsekwentnie stosowana we wszystkich zidentyfikowanych próbkach FBota i niektórych próbkach Legion Stealer.

Co więcej, FBot zawiera funkcje specyficzne dla AWS, umożliwiające sprawdzanie szczegółów konfiguracji poczty elektronicznej AWS Simple Email Service (SES) i określanie limitów usług EC2 dla konta docelowego. Dostępna jest również funkcja związana z Twilio, która umożliwia zbieranie informacji o koncie, w tym o saldzie, walucie i podłączonych numerach telefonów.

Dodatkowo FBot ma możliwość wyodrębnienia referencji z plików środowiska Laravel. Naukowcy zidentyfikowali próbki FBota pochodzące z lipca 2022 r., co wskazuje na jego aktywne użycie w środowisku naturalnym. Nie jest jednak jasne, czy narzędzie to jest aktywnie utrzymywane i w jaki sposób jest rozpowszechniane wśród innych podmiotów zagrażających.