FBot: Il Nuovo Toolkit di Hacking Python Rivela Attacchi a Server Cloud e Piattaforme SaaS
Un nuovo e avanzato strumento di hacking, denominato FBot e basato su Python, ha recentemente fatto la sua comparsa, svelando una serie di attacchi diretti a server web, servizi cloud, sistemi di gestione dei contenuti (CMS) e piattaforme Software as a Service (SaaS) di rilievo, tra cui Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgrid e Twilio.
Il ricercatore di sicurezza di SentinelOne, Alex Delamotte, ha analizzato le caratteristiche principali di FBot, evidenziando il suo ruolo nel furto di credenziali per attacchi di spam, strumenti di dirottamento di account AWS e funzioni per attacchi contro account PayPal e vari account SaaS.
Questo toolkit rappresenta l’ultima aggiunta a una lista crescente di strumenti di hacking cloud, tra cui AlienFox, GreenBot (alias Maintance), Legion e Predator.
Tuttavia, è importante notare che FBot si distingue da queste famiglie, presentando caratteristiche uniche e non facendo riferimento a codice sorgente di AndroxGh0st.
L’obiettivo finale di FBot è di dirottare servizi cloud, SaaS e web, al fine di raccogliere credenziali e ottenere accesso iniziale, monetizzando successivamente l’accesso attraverso la vendita a terzi.
Oltre alla generazione di chiavi API per AWS e Sendgrid, il toolkit include funzioni per generare indirizzi IP casuali, eseguire scanner IP inversi e convalidare account PayPal e relativi indirizzi email tramite richieste API in un sito di vendita al dettaglio lituano.
Le funzionalità specifiche per AWS permettono a FBot di verificare i dettagli di configurazione dell’email di AWS Simple Email Service (SES) e determinare i limiti di servizio EC2 dell’account mirato.
Inoltre, la funzionalità legata a Twilio è utilizzata per raccogliere dettagli sull’account, come saldo, valuta e numeri di telefono collegati.
Il toolkit dimostra anche la capacità di estrarre credenziali dai file di ambiente di Laravel, rendendolo un pericolo potenziale per la sicurezza informatica.
SentinelOne ha individuato campioni di FBot in circolazione dal luglio 2022 fino al mese corrente, indicando un utilizzo attivo.
Tuttavia, al momento, non si conoscono informazioni sulla manutenzione attiva dello strumento o sulle modalità di distribuzione ad altri attori.
Secondo Delamotte, “Abbiamo trovato indicazioni che FBot è il prodotto di sviluppo privato, quindi le versioni contemporanee potrebbero essere distribuite attraverso un’operazione su scala ridotta”.
Ciò suggerisce un trend emergente di strumenti di attacco cloud personalizzati, adattati alle esigenze specifiche degli acquirenti individuali, simile a quanto riscontrato con build di AlienFox.