Mit <kes>+ lesen

Neues FBot-Hacking-Toolkit zielt auf Cloud- und SaaS-Plattformen

Sicherheitsforscher haben ein neues Hacking-Tool namens FBot entdeckt. Dieses Tool, das auf der Programmiersprache Python basiert, hat das Ziel, verschiedene Online-Plattformen und Dienste zu infiltrieren. Dazu gehören Webserver, Cloud-Dienste, Content-Management-Systeme (CMS) sowie weit verbreitete Software-as-a-Service-(SaaS)-Plattformen wie Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgrid und Twilio.

Bedrohungen
Lesezeit 2 Min.

FBot funktioniert, indem es Schwachstellen und Sicherheitslücken in verschiedenen Plattformen ausnutzt, um sich unberechtigten Zugriff zu verschaffen. Sicherheitsforscher von SentinelOne berichten, dass es zu den Hauptaufgaben von FBot gehört, Anmeldeinformationen zu sammeln, die dann für Spam-Angriffe verwendet werden. Außerdem enthält es Tools zum Übernehmen von AWS-Konten sowie Funktionen, die Angriffe auf PayPal und verschiedene SaaS-Konten ermöglichen.

FBot gesellt sich zu einer Liste von Cloud-Hacking-Tools wie AlienFox, GreenBot (auch bekannt als Maintance), Legion und Predator. Interessanterweise überlappen sich die letzten vier Tools auf der Code-Ebene mit AndroxGh0st.

SentinelOne beschreibt FBot als „verwandt, aber nicht identisch mit diesen Familien“. Das bedeutet, dass, obwohl es Ähnlichkeiten mit Legion zeigt, es nicht direkt auf den Quellcode von AndroxGh0st zurückgeht. Legion wurde erstmals im letzten Jahr bekannt gemacht. Daher ist FBot ein neuer Akteur in der Landschaft der Hacking-Tools, der zwar gewisse Ähnlichkeiten mit anderen aufweist, aber gleichzeitig auch seine eigenen Besonderheiten und Funktionalitäten mitbringt.

Das Ziel von FBot ist es, Cloud-Dienste, SaaS-Plattformen und Webdienste zu übernehmen. Das bedeutet, es versucht, Zugangsinformationen zu sammeln, um sich einen Anfangszugang zu verschaffen. Dieser Zugang lässt sich durch den Verkauf an andere Akteure einfach zu Geld zu machen.

Funktionen

FBot hat verschiedene Funktionen, darunter die Generierung von API-Schlüsseln für Dienste wie AWS und Sendgrid. Es kann auch zufällige IP-Adressen erstellen, Reverse-IP-Scans durchführen und sogar PayPal-Konten überprüfen, einschließlich der zugehörigen E-Mail-Adressen.

Das Skript leitet die Paypal-API-Anfrage über die Website „hxxps://www.robertkalinkin.com/index.php“ ein, bei der es sich um die Verkaufswebsite eines litauischen Modedesigners handelt. „Interessanterweise verwenden alle identifizierten FBot-Samples diese Website, um die Paypal-API-Anfragen zu authentifizieren“, so SentinelOne. „Wir haben festgestellt, dass auch mehrere Legion Stealer-Versionen dasselbe tun.“

Darüber hinaus enthält FBot spezielle Funktionen für AWS, um E-Mail-Konfigurationsdetails des AWS Simple Email Service (SES) zu überprüfen und die EC2-Servicekontingente des Zielkontos zu bestimmen. Es nutzt auch Twilio-bezogene Funktionen, um Informationen über das Konto zu sammeln, wie den Kontostand, die Währung und die mit dem Konto verbundenen Telefonnummern.

Doch damit nicht genug, denn die Malware ist auch in der Lage, Anmeldeinformationen aus Laravel-Umgebungsdateien zu extrahieren.

Aktuelle Lage

Das Cybersicherheitsunternehmen hat herausgefunden, dass die FBot-Malware von Juli 2022 bis heute aktiv in realen Situationen verwendet wird. Allerdings ist nicht klar, ob die Leute, die das Tool entwickelt haben, es weiterhin pflegen und wie es möglicherweise an andere Personen weitergegeben wird.

Die Sicherheitsforscher haben Anzeichen dafür gefunden, dass FBot das Ergebnis privater Entwicklungsarbeit ist. Das bedeutet, dass möglicherweise kleinere Gruppen oder individuelle Entwickler für die neuesten Versionen verantwortlich sind. Dies passt zu dem Trend von Cloud-Angriffs-Tools, die als maßgeschneiderte „private Bots“ erstellt werden, die speziell auf die Bedürfnisse einzelner Käufer zugeschnitten sind. Ähnliche Muster wurden auch bei anderen Tools wie AlienFox beobachtet.

Diesen Beitrag teilen: