新的基于 Python 的 FBot 黑客工具包针对云和 SaaS 平台

一种名为FBot的基于Python的新黑客工具已被发现，其目标为Web服务器，云服务，内容管理系统（CMS）和SaaS平台，例如Amazon Web Services（AWS），Microsoft 365，PayPal，Sendgrid和Twilio。

“主要功能包括垃圾邮件攻击的凭据收集，AWS帐户劫持工具以及针对PayPal和各种SaaS帐户的攻击的功能，”SentinelOne安全研究员Alex Delamotte在与The Hacker News分享的一份报告中表示。

FBot 是 AlienFox、GreenBot（又名 Maintance）、Legion 和 Predator 等云黑客工具列表中的最新成员，其中后四个与 AndroxGh0st 共享代码级重叠。

SentinelOne 将 FBot 描述为“与这些家族相关但不同”，因为它没有引用 AndroxGh0st 的任何源代码，尽管它与去年首次曝光的 Legion 有相似之处。

该工具的最终目标是劫持云、SaaS 和 Web 服务，并收集凭据以获得初始访问权限，并通过将访问权限出售给其他参与者来获利。

FBot除了为AWS和Sendgrid生成API密钥外，还包含各种功能来生成随机IP地址，运行反向IP扫描程序，甚至验证PayPal帐户以及与这些帐户关联的电子邮件地址。

“该脚本通过网站 hxxps://www.robertkalinkin.com/index.php 发起PayPal API 请求，该网站是立陶宛时装设计师的零售网站，”Delamotte 指出。“有趣的是，所有已识别的FBot样本都使用该网站来验证PayPal API请求，并且一些Legion Stealer样本也是如此。

最重要的是，FBot 包含特定于 AWS 的功能，以检查 AWS Simple Email Service （SES） 电子邮件配置详细信息并确定目标账户的 EC2 服务配额。同样，与 Twilio 相关的功能用于收集有关帐户的详细信息，即与帐户关联的余额、货币和电话号码。

功能并不止于此，因为恶意软件还能够从 Laravel 环境文件中提取凭据。

这家网络安全公司表示，它从 2022 年 7 月到本月发现了样本，这表明它正在野外积极使用。也就是说，目前尚不清楚该工具是否得到积极维护，以及如何将其分发给其他玩家。

“我们发现有迹象表明，FBot是私人开发工作的产物，因此当代建筑可能通过较小规模的运营进行分发，”Delamotte说。

“这与云攻击工具的主题一致，即为个人买家量身定制的'私人机器人'，这是AlienFox构建中普遍存在的主题。

​

原文始发于微信公众号（HackSee）：新的基于 Python 的 FBot 黑客工具包针对云和 SaaS 平台