新的基于 Python 的 FBot 工具包瞄准云和 SaaS 平台

admin
admin
admin
102369
文章
87
评论
2024年1月16日08:54:54评论19 views字数 1211阅读4分2秒阅读模式
更多全球网络安全资讯尽在邑安全
新的基于 Python 的 FBot 工具包瞄准云和 SaaS 平台

一种名为FBot的新的基于 Python 的黑客工具被发现针对 Web 服务器、云服务、内容管理系统 (CMS) 和 SaaS 平台,例如 Amazon Web Services (AWS)、Microsoft 365、PayPal、Sendgrid 和 Twilio。
SentinelOne 安全研究员 Alex Delamotte在与 The Hacker News 分享的一份报告中表示:“主要功能包括收集垃圾邮件攻击的凭证、AWS 账户劫持工具以及针对 PayPal 和各种 SaaS 账户进行攻击的功能。”
FBot 是AlienFox、GreenBot(又名 Mainance)、LegionPredator等云黑客工具列表中的最新成员,后四个工具与 AndroxGh0st 具有代码级别重叠。
SentinelOne 将 FBot 描述为“与这些家族相关但又不同”,因为它没有引用 AndroxGh0st 的任何源代码,尽管它与去年首次曝光的 Legion 表现出相似之处。
该工具的最终目标是劫持云、SaaS 和 Web 服务,并获取凭证以获得初始访问权限,并通过将访问权限出售给其他参与者来获利。
FBot 除了为 AWS 和 Sendgrid 生成 API 密钥之外,还包含各种功能来生成随机 IP 地址、运行反向 IP 扫描器,甚至验证 PayPal 帐户以及与这些帐户关联的电子邮件地址。
“该脚本通过 hxxps://www.robertkalinkin.com/index.php 网站发起 Paypal API 请求,该网站是立陶宛时装设计师的零售网站,”Delamotte 指出。“有趣的是,所有已识别的 FBot 样本都使用该网站来验证 Paypal API 请求,一些 Legion Stealer 样本也这样做。”
最重要的是,FBot 包含 AWS 特定的功能,以检查 AWS Simple Email Service (SES) 电子邮件配置详细信息并确定目标账户的 EC2 服务配额。同样,Twilio 相关功能用于收集有关帐户的详细信息,即与帐户相关的余额、货币和电话号码。
这些功能还不止于此,因为恶意软件还能够从 Laravel 环境文件中提取凭据。
这家网络安全公司表示,它从 2022 年 7 月到本月都发现了样本,这表明它正在被积极使用。也就是说,目前尚不清楚该工具是否得到积极维护以及如何将其分发给其他玩家。
“我们发现有迹象表明 FBot 是私人开发工作的产物,因此当代构建可能通过较小规模的运营进行分发,”德拉莫特说。
“这与云攻击工具是为个人买家量身定制的‘私人机器人’的主题相一致,这是 AlienFox 构建中普遍存在的主题。”

原文来自:thehackernews.com

原文链接:https://thehackernews.com/2024/01/new-python-based-fbot-hacking-toolkit.html

原文始发于微信公众号(邑安全):新的基于 Python 的 FBot 工具包瞄准云和 SaaS 平台

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年1月16日08:54:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新的基于 Python 的 FBot 工具包瞄准云和 SaaS 平台https://cn-sec.com/archives/2395086.html

发表评论

匿名网友 填写信息