Обнаружен новый инструмент для взлома на основе Python под названием FBot, предназначенный для веб-серверов, облачных сервисов, систем управления контентом (CMS) и SaaS-платформ, таких как Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgrid и Twilio.
"Ключевые функции включают сбор учетных данных для спам-атак, инструменты для взлома учетных записей AWS и функции для обеспечения атак на PayPal и различные учетные записи SaaS", - сказал исследователь безопасности SentinelOne Алекс Деламот в отчете, опубликованном в Hacker News.
FBot - это последнее дополнение к списку инструментов для взлома облаков, таких как AlienFox, GreenBot (он же Maintance), Legion и Predator, последние четыре из которых частично совпадают с AndroxGh0st на уровне кода.
SentinelOne описал FBot как "родственный, но отличный от этих семейств" из-за того факта, что он не ссылается ни на какой исходный код от AndroxGh0st, хотя он имеет сходство с Legion, который впервые появился в прошлом году.
Конечная цель инструмента - взломать облачные, SaaS и веб-сервисы, а также собрать учетные данные для получения начального доступа и монетизировать его, продавая доступ другим участникам.
FBot, помимо генерации ключей API для AWS и Sendgrid, предоставляет ряд функций для генерации случайных IP-адресов, запуска обратных IP-сканеров и даже проверки учетных записей PayPal и адресов электронной почты, связанных с этими учетными записями.
"Скрипт инициирует запрос API Paypal через веб-сайт hxxps://www.robertkalinkin.com/index.php, который является сайтом розничных продаж литовского дизайнера одежды", - отметил Деламот. "Интересно, что все идентифицированные образцы FBot используют этот веб-сайт для аутентификации запросов API Paypal, а также несколько образцов Legion Stealer".
Кроме того, FBot включает в себя специфические для AWS функции для проверки сведений о конфигурации электронной почты AWS Simple Email Service (SES) и определения квот на обслуживание EC2 для целевой учетной записи. Функциональность, связанная с Twilio, также используется для сбора сведений об учетной записи, а именно о балансе, валюте и номерах телефонов, подключенных к учетной записи.
На этом возможности не заканчиваются, поскольку вредоносная программа также способна извлекать учетные данные из файлов среды Laravel.
Компания по кибербезопасности заявила, что обнаружила образцы, начиная с июля 2022 года и вплоть до текущего месяца, предполагая, что он активно используется в дикой природе. Тем не менее, в настоящее время неизвестно, активно ли поддерживается инструмент и как он распространяется среди других игроков.
"Мы обнаружили признаки того, что FBot является продуктом частной разработки, поэтому современные сборки могут распространяться с помощью операций меньшего масштаба", - сказал Деламот.
"Это соответствует теме облачных инструментов атаки, представляющих собой индивидуальные боты, разработанные на заказ для отдельного покупателя, что является темой, распространенной среди сборок AlienFox".
