FBot 是一种针对 AWS 的新型恶意工具
最近发现的一种名为 FBot 的黑客工具是用 Python 开发的,现在针对一系列在线服务,包括 Web 服务器、云平台、内容管理系统和软件即服务平台,如 Amazon Web Services (AWS)、Microsoft 365、PayPal、 Sendgrid 和 Twilio。
根据安全研究员 Alex Delamotte 的说法,FBot 配备了各种功能,例如用于垃圾邮件攻击的凭据收集、劫持 AWS 帐户的工具以及支持对 PayPal 和不同 SaaS 帐户进行攻击的功能。 Delamotte 在与 IT 安全媒体 The Hacker News 共享的一份文件中报告了这些发现。
虽然 FBot 加入了 AlienFox、GreenBot(也称为 Mainance)、Legion 和 Predator 等其他云黑客工具的行列,但由于缺乏对 AndroxGh0st 任何源代码的引用,它显得与众不同。尽管它与去年首次发现的 Legion 有相似之处,但 FBot 被视为一个独立的实体。
FBot 的主要目标是危害云、SaaS 和 Web 服务,通过获取凭据来获取初始访问权限。然后,黑客试图将这种访问权限出售给网络犯罪生态系统中的其他参与者,从而将其货币化。
FBot装备精良
FBot 提供一系列功能,包括为 AWS 和 Sendgrid 生成 API 密钥,以及生成随机 IP 地址、运行反向 IP 扫描仪以及验证 PayPal 帐户以及关联电子邮件地址的功能。
有趣的是,FBot 使用的脚本通过网站“hxxps://www.robertkalinkin.com/index.php”发起 PayPal API 请求,该网站是立陶宛时装设计师的零售网站。这是所有已识别的 FBot 样本和一些 Legion Stealer 样本一致采用的身份验证方法。
此外,FBot 还结合了 AWS 特定的功能来检查 AWS Simple Email Service (SES) 电子邮件配置详细信息并确定目标账户的 EC2 服务配额。还提供与 Twilio 相关的功能,用于收集有关帐户的信息,包括余额、货币和连接的电话号码。
此外,FBot 能够从 Laravel 环境文件中提取凭据。研究人员已识别出可追溯到 2022 年 7 月的 FBot 样本,表明其在野外的活跃使用。然而,目前尚不清楚该工具是否得到积极维护以及它如何在其他威胁参与者之间分发。
