Python tabanlı yeni bir hackleme aracı FBot web sunucularını, bulut hizmetlerini, içerik yönetim sistemlerini (CMS) ve Amazon Web Hizmetleri (AWS), Microsoft 365, PayPal, Sendgrid ve Twilio gibi SaaS platformlarını hedef aldığı ortaya çıktı.
SentinelOne güvenlik araştırmacısı Alex Delamotte, The Hacker News ile paylaşılan bir raporda, “Temel özellikler arasında spam saldırıları için kimlik bilgileri toplama, AWS hesap ele geçirme araçları ve PayPal ile çeşitli SaaS hesaplarına yönelik saldırıları mümkün kılan işlevler yer alıyor.” dedi.
FBot, AlienFox, GreenBot (aka Maintance), Legion ve Predator gibi bulut korsanlığı araçları listesine eklenen en son eklentidir; son dördü AndroxGh0st ile kod düzeyinde örtüşmeleri paylaşmaktadır.
SentinelOne, FBot’u “ilk kez geçen yıl ortaya çıkan Legion ile benzerlikler sergilemesine rağmen AndroxGh0st’tan herhangi bir kaynak koduna referans vermemesi nedeniyle” bu ailelerden ilişkili ancak farklı ” olarak tanımladı.
Aracın nihai hedefi, bulutu, SaaS’ı ve web hizmetlerini ele geçirmek ve ilk erişimi elde etmek için kimlik bilgilerini toplamak ve erişimi diğer aktörlere satarak bundan para kazanmaktır.
FBot, AWS ve Sendgrid için API anahtarları oluşturmanın yanı sıra, rastgele IP adresleri oluşturmak, ters IP tarayıcıları çalıştırmak ve hatta PayPal hesaplarını ve bu hesaplarla ilişkili e-posta adreslerini doğrulamak için çeşitli özellikler içerir.
Delamotte, “Komut dosyası, Litvanyalı bir moda tasarımcısının perakende satış web sitesi olan hxxps://www.robertkalinkin.com/index.php web sitesi aracılığıyla Paypal API isteğini başlatıyor” dedi. “İlginç bir şekilde, tanımlanan tüm FBot örnekleri Paypal API isteklerini doğrulamak için bu web sitesini kullanıyor ve birkaç Legion Stealer örneği de aynısını yapıyor.”
Üstelik FBot, AWS Basit E-posta Hizmeti (SES) e-posta yapılandırma ayrıntılarını kontrol etmek ve hedeflenen hesabın EC2 hizmet kotalarını belirlemek için AWS’ye özgü özellikler içerir. Twilio ile ilgili işlevsellik de aynı şekilde hesapla ilgili ayrıntıları, yani hesaba bağlı bakiye, para birimi ve telefon numaralarını toplamak için kullanılır.
Kötü amaçlı yazılım aynı zamanda Laravel ortam dosyalarından kimlik bilgileri çıkarma yeteneğine de sahip olduğundan, özellikler burada bitmiyor.
Siber güvenlik firması, Temmuz 2022’den bu aya kadar örnekleri ortaya çıkardığını ve bunun vahşi doğada aktif olarak kullanıldığını öne sürdüğünü söyledi. Bununla birlikte, aracın aktif olarak bakımının yapılıp yapılmadığı ve diğer oyunculara nasıl dağıtıldığı şu anda bilinmiyor.
Delamotte, “FBot’un özel geliştirme çalışmasının ürünü olduğuna dair göstergeler bulduk, dolayısıyla çağdaş yapılar daha küçük ölçekli bir operasyonla dağıtılabilir” dedi.
“Bu, AlienFox yapıları arasında yaygın bir tema olan, bireysel alıcıya göre özel olarak tasarlanmış ‘özel botlar’ olan bulut saldırı araçları temasıyla uyumludur.”