FBot Hack Tool

Python を使用して開発された FBot という新しいハッキング ツールが、Web サーバー、クラウド サービス、コンテンツ管理システム (CMS)、およびアマゾン ウェブ サービス (AWS)、マイクロソフトなどのサービスとしてのソフトウェア (SaaS) プラットフォームへの侵入に焦点を当てていることが発見されました。 365、PayPal、Sendgrid、Twilio。注目すべき機能には、スパム攻撃のための認証情報の収集、AWS アカウントのハイジャックを容易にするツール、PayPal やさまざまな SaaS アカウントに対する攻撃を実行する機能が含まれます。

FBot ハッキング ツールと他のマルウェア ファミリの間に見つかった類似点

FBot は、 AlienFox 、GreenBot (Maintance としても知られる)、Legion、 Predatorなどのクラウド ハッキング ツールの仲間入りを果たしました。特に、後の 4 つのツールは AndroxGh0st とコード レベルの類似点を共有しています。

研究者は、FBot をこれらのツール ファミリに関連するツールとして区別していますが、これらのツール ファミリとは区別されています。対応するものとは異なり、FBot は AndroxGh0st のソース コードを参照しません。ただし、前年に浮上した Legion との類似点も見られます。

FBot の最終的な目的は、クラウド、SaaS (Software as a Service)、および Web サービスを強奪することです。これは、認証情報を収集して初期アクセスを取得し、その後、このアクセスを他の脅威アクターに販売することで収益化することによって実現されます。

FBot はさまざまな危険なアクティビティを実行できる

FBot は、AWS と Sendgrid の API キーを生成するだけでなく、ランダムな IP アドレスの作成、リバース IP スキャナーの実行、PayPal アカウントとそれに関連付けられた電子メール アドレスの検証など、さまざまな機能も組み込んでいます。

このスクリプトは、リトアニアのファッション デザイナーの小売販売サイトに属する Web サイト hxxps://www.robertkalinkin.com/index.php を通じて PayPal API リクエストを初期化します。興味深いことに、特定されたすべての FBot サンプルは、PayPal API リクエストの認証にこの Web サイトを使用しており、これはいくつかの Legion Stealer サンプルと共通の動作です。

さらに、FBot には、AWS Simple Email Service (SES) の電子メール設定の詳細を検査し、対象のアカウントの EC2 サービス クォータを確認する AWS 固有の機能が含まれています。 Twilio 関連の機能も同様に、残高、通貨、リンクされた電話番号などのアカウントに関する詳細を収集するために使用されます。このマルウェアは Laravel 環境ファイルから資格情報を抽出することに熟達しているため、機能はさらに拡張されます。

FBot はカスタムメイドのマルウェア ツールである可能性があります

FBot ハッキング ツールを使用した攻撃操作のインシデントが 2022 年 7 月から 2024 年初めにかけて記録されており、実際に活発に使用され続けていることがわかります。それにもかかわらず、ツールのメンテナンスと他のアクターへの配布方法に関する現在の状況は不明のままです。

FBot が民間の開発努力から生じたものである可能性を示唆する兆候があり、最近のビルドがよりローカライズされた操作を通じて配布される可能性があることを示唆しています。これは、個々の購入者向けにカスタマイズされた「プライベート ボット」として機能するクラウド攻撃ツールの一般的な傾向と一致しており、AlienFox ビルドで観察されたアプローチを反映しています。