FBot 是一種針對 AWS 的新型惡意工具
最近發現的一種名為FBot 的駭客工具是用Python 開發的,目前針對一系列線上服務,包括Web 伺服器、雲端平台、內容管理系統以及軟體即服務平台,例如Amazon Web Services (AWS)、Microsoft 365 、PayPal、 Sendgrid 和 Twilio。
根據安全研究員 Alex Delamotte 的說法,FBot 配備了各種功能,例如用於垃圾郵件攻擊的憑證收集、劫持 AWS 帳戶的工具以及支援對 PayPal 和不同 SaaS 帳戶進行攻擊的功能。 Delamotte 在與 IT 安全媒體 The Hacker News 分享的文件中報告了這些發現。
雖然 FBot 加入了 AlienFox、GreenBot(也稱為 Mainance)、Legion 和 Predator 等其他雲端駭客工具的行列,但由於缺乏對 AndroxGh0st 任何原始碼的引用,它顯得與眾不同。儘管它與去年首次發現的 Legion 有相似之處,但 FBot 被視為一個獨立的實體。
FBot 的主要目標是危害雲、SaaS 和 Web 服務,透過取得憑證來取得初始存取權限。然後,駭客試圖將這種存取權出售給網路犯罪生態系統中的其他參與者,從而將其貨幣化。
FBot裝備精良
FBot 提供一系列功能,包括為 AWS 和 Sendgrid 產生 API 金鑰,以及產生隨機 IP 位址、執行反向 IP 掃描器以及驗證 PayPal 帳戶以及關聯電子郵件地址的功能。
有趣的是,FBot 使用的腳本透過網站「hxxps://www.robertkalinkin.com/index.php」發起 PayPal API 請求,該網站是立陶宛時裝設計師的零售網站。這是所有已識別的 FBot 樣本和一些 Legion Stealer 樣本一致採用的身份驗證方法。
此外,FBot 還結合了 AWS 特定的功能來檢查 AWS Simple Email Service (SES) 電子郵件配置詳細資訊並確定目標帳戶的 EC2 服務配額。還提供與 Twilio 相關的功能,用於收集有關帳戶的信息,包括餘額、貨幣和連接的電話號碼。
此外,FBot 能夠從 Laravel 環境文件中提取憑證。研究人員已識別出可追溯到 2022 年 7 月的 FBot 樣本,顯示其在野外的活躍使用。然而,目前尚不清楚該工具是否得到積極維護以及它如何在其他威脅參與者之間分發。