FBot — новый вредоносный инструмент, нацеленный на AWS

Недавно обнаруженный хакерский инструмент под названием FBot, разработанный на Python, теперь нацелен на ряд онлайн-сервисов, включая веб-серверы, облачные платформы, системы управления контентом и платформы программного обеспечения как услуги, такие как Amazon Web Services (AWS), Microsoft 365, PayPal, Сендгрид и Твилио.

По словам исследователя безопасности Алекса Деламотта, FBot оснащен различными функциями, такими как сбор учетных данных для спам-атак, инструменты для взлома учетных записей AWS, а также функции, позволяющие атаковать PayPal и различные учетные записи SaaS. Деламотт сообщил об этих выводах в документе, предоставленном изданию по информационной безопасности The Hacker News.

Хотя FBot присоединяется к рядам других инструментов облачного взлома, таких как AlienFox, GreenBot (также известный как Maintance), Legion и Predator, он выделяется своим отличием из-за отсутствия ссылок на какой-либо исходный код AndroxGh0st. Хотя FBot имеет сходство с Legion, который впервые был обнаружен в прошлом году, он считается отдельным объектом.

Основная цель FBot — скомпрометировать облачные, SaaS- и веб-сервисы, получив первоначальный доступ путем сбора учетных данных. Затем хакеры стремятся монетизировать этот доступ, продавая его другим участникам экосистемы киберпреступности.

FBot поставляется хорошо оснащенным

FBot предлагает ряд функций, включая генерацию ключей API для AWS и Sendgrid, а также возможности создавать случайные IP-адреса, запускать обратные сканеры IP и проверять учетные записи PayPal вместе со связанными адресами электронной почты.

Интересно, что скрипт, используемый FBot, инициирует запросы API PayPal через веб-сайт hxxps://www.robertkalinkin.com/index.php, который является сайтом розничных продаж литовского модельера. Этот метод аутентификации последовательно используется во всех обнаруженных образцах FBot и некоторых образцах Legion Stealer.

Кроме того, FBot включает в себя специфичные для AWS функции для проверки деталей конфигурации электронной почты AWS Simple Email Service (SES) и определения квот услуг EC2 для целевой учетной записи. Также предусмотрены функции, связанные с Twilio, для сбора информации об учетной записи, включая баланс, валюту и подключенные номера телефонов.

Кроме того, FBot имеет возможность извлекать учетные данные из файлов среды Laravel. Исследователи обнаружили образцы FBot, датированные июлем 2022 года, что указывает на активное использование в дикой природе. Однако остается неясным, активно ли поддерживается этот инструмент и как он распространяется среди других субъектов угроз.