5月27日消息，安全公司Team Cymru的研究人員表示，越來越多的威脅參與者正在使用免費(fèi)的瀏覽器自動(dòng)化框架作為其攻擊活動(dòng)的一部分。

研究人員表示，該框架的技術(shù)準(zhǔn)入門檻故意保持在較低水平，以創(chuàng)建一個(gè)由內(nèi)容開發(fā)者和貢獻(xiàn)者組成的活躍社區(qū)，同時(shí)，地下經(jīng)濟(jì)中的參與者也會(huì)宣傳他們創(chuàng)建的定制工具。研究人員稱：

“考慮到越來越多的威脅團(tuán)體已將該框架納入其工具包中，我們也著手對(duì)該框架進(jìn)行了深入研究?！?/p>

Cymru團(tuán)隊(duì)觀察到，與Bumblebee加載程序以及BlackGuard和RedLine竊取程序相關(guān)的命令和控制（C2）基礎(chǔ)設(shè)施和工具存儲(chǔ)庫(kù)Bablosoft的下載子域（downloads.bablosoft[.]com）建立了連接。

事實(shí)上，這并非Bablosoft第一次被記錄在案。早在F5 Labs針對(duì)撞庫(kù)攻擊的研究以及NTT針對(duì)GRIM SPIDER黑客組織所用工具包的研究中就已經(jīng)發(fā)現(xiàn)了它的蹤影。

研究人員指出，根據(jù)已使用Bablosoft網(wǎng)站所提供工具的惡意行為者數(shù)量，我們預(yù)計(jì)Browser Automation Studio（簡(jiǎn)稱BAS）將成為威脅參與者工具包中更常見的元素。BAS是Bablosoft的自動(dòng)化工具，它允許用戶使用瀏覽器、HTTP客戶端、電子郵件客戶端和其他庫(kù)創(chuàng)建應(yīng)用程序。

F5 Labs在其關(guān)于撞庫(kù)攻擊的報(bào)告中指出，“我們認(rèn)為BAS將在惡意活動(dòng)中日益普及的原因之一是，Bablosoft社區(qū)的活躍狀態(tài)以及該軟件的分發(fā)和銷售形式都會(huì)加速它的應(yīng)用。”

研究人員還發(fā)現(xiàn)了一個(gè)名為“Bablosoft – BAS chat”的非官方Telegram群組，該群組擁有1000多名用戶，這足以凸顯圍繞該工具的社區(qū)活躍水平。值得一提的是，研究顯示，該群組似乎主要由講俄語的人使用，主要用于分享有關(guān)新功能、腳本和提示的更新信息。

技術(shù)分析

研究人員介紹稱，BAS工具的功能包括瀏覽器模擬、模仿用戶行為（擊鍵和鼠標(biāo)）、代理支持、郵箱搜索功能以及從文件/URL/字符串加載數(shù)據(jù)的能力。目前，這些功能已經(jīng)吸引了多個(gè)不同的威脅組織的注意，并可能被用于啟動(dòng)惡意活動(dòng)。

創(chuàng)建的服務(wù)包括BAS的定制腳本，例如與Telegram API交互，或開發(fā)“bruters”和“recruiters”。Bruters是一款執(zhí)行撞庫(kù)攻擊的軟件。

在Bumblebee、BlackGuard和RedLine等惡意軟的C2基礎(chǔ)設(shè)施中，研究人員觀察到了與downloads.bablosoft[.]com（解析IP地址為46.101.13.144）的連接。他們假設(shè)威脅參與者正在下載用于惡意活動(dòng)的工具。研究人員稱，

“根據(jù)該IP地址的威脅遙測(cè)數(shù)據(jù)顯示，絕大多數(shù)活動(dòng)都來自俄羅斯和烏克蘭的位置?！?/p>

研究人員在分析BlackGuard和RedLine的C2基礎(chǔ)設(shè)施時(shí)還確定了BAS的幾個(gè)用例。其中一個(gè)為“gmail帳戶檢查器”，威脅參與者可能會(huì)使用它來評(píng)估被盜憑據(jù)的有效性。

研究人員補(bǔ)充道，

“在檢查Bablosoft基礎(chǔ)設(shè)施其他元素的威脅遙測(cè)時(shí)，我們發(fā)現(xiàn)了幾個(gè)與加密劫持惡意軟件相關(guān)的主機(jī)，這些主機(jī)連接到了fingerprints..bablosoft[.]com。BAS服務(wù)的指紋元素允許用戶更改他們的瀏覽器指紋，而威脅行為者也可能將該功能用作匿名化或規(guī)范化其活動(dòng)的一種手段?！?/p>

原文鏈接：https://www.databreachtoday.com/threat-actors-exploiting-free-browser-automation-framework-a-19157