FBot złośliwe oprogramowanie atakujące usługi w chmurze
Badacze SentinelLabs zidentyfikowali FBot’a w atakach na serwery usług AWS, MS Office 365, PayPal, Sendgrid, Twilio. FBot jest narzędziem hakerskim, atakującym serwery i usługi na platformach SaaS: AWS, Office365, PayPal, Sendgrid i Twilio. Kod FBot’a oparty jest na języku Python, jego najważniejsze funkcje to zbieranie danych uwierzytelniających na potrzeby kampanii spam’owych, przejmowania kont AWS oraz ataki na systemy płatności PayPal i konta SaaS. FBot zawiera różne narzędzia, włącznie z generatorem adresów IP i skanerem portów.
Menu FBot’a z listą funkcji, źródło SentinelLabs
Funkcja generatora kluczy API dla AWS jest obsługiwana przez aws_generator, generujący losowy identyfikator klucza dostępu do AWS, w następnym kroku generowany jest tajny klucz z 40 losowo wybranymi znakami. Kolejna funkcja Mass AWS Checker sprawdza szczegóły konfiguracji poczty e-mail AWS Simple Email Service, włącznie z maksymalnym limitem, szybkością wysyłania, ilością wysłanych już w przeciągu 24 h wiadomości e-mail. FBot tworzy nowe konto użytkownika iDevXploit i hasłem MCDonald2021D#1337, dołącza politykę AdminsitratorAccess, aby podnieść poziom uprawnień dla nowego konta. Trzecia funkcja AWS EC2 Checker odczytuje listę tożsamości AWS.
Funkcja paypal_validator sprawdza konta PayPal, poprzez bezpośrednią komunikację z adresem URL
Skrypt inicjuje żądanie uwierzytelnienia API PayPal na powyższej witrynie, walidator PayPal tworzy żądanie podając fałszywe dane klienta.
Funkcja cms_scanner tworzy żądanie do docelowego adresu URL i analizuje odpowiedzi pod kątem technologii: Codeigniter, Laravel, phpBB, Discuz, Lithium, PrestaShop, Drupal, Magento, vBulletin, Esportsify, MediaWiki, Whmcs, FluxBB, Moodle, WordPress, Invision, Ning, YetAnotherForum, Jive, OpenCart, ZenCart, Joomla, osCommerce, Zimbra.
FBot jest nową rodziną złośliwych narzędzi, które kontynuują trend przenoszenia kodu do ataku w chmurze z jednego narzędzia do drugiego dlatego organizacje bezwzględnie powinny włączyć i stosować uwierzytelnianie wieloskładnikowe MFA dla usług SaaS.