浏览器自动化框架成为攻击者的工具。研究人员表示,该框架的技术准入门槛被故意保持在较低水平,以创建一个活跃的内容开发人员和贡献者社区,而地下经济中的参与者则宣传他们创建的定制工具。“鉴于越来越多的威胁组织将该框架纳入他们的工具包,我们也着手对该框架进行深入研究,”研究人员说。与程序相关的命令和控制(C2)基础设施和工具存储库Bablosoft的下载子域(downloads.bablosoft[.]com)建立了连接。事实上,这并不是Bablosoft第一次被记录在案。在F5Labs对撞库攻击的研究和NTT对GRIMSPIDER黑客组织使用的工具包的研究中都发现了它。研究人员指出,根据已经使用Bablosoft网站提供的工具的恶意行为者数量,我们预计BrowserAutomationStudio(简称BAS)将成为威胁行为者工具包中更常见的元素。BAS是Bablosoft的自动化工具,允许用户使用浏览器、HTTP客户端、电子邮件客户端和其他库创建应用程序。F5Labs在其撞库攻击报告中指出,“我们认为BAS在恶意活动中越来越受欢迎的原因之一是Bablosoft社区的活跃状态以及软件的分发和销售方式将加速其采用。”研究人员还发现了一个名为“Bablosoft–BASchat”的非官方Telegram群组,该群组拥有1,000多名用户,突出了围绕该工具的社区活动水平。值得一提的是,研究表明该群组似乎主要由讲俄语的人使用,主要用于分享有关新功能、脚本和技巧的更新。据技术分析研究人员介绍,BAS工具的功能包括浏览器仿真、模仿用户行为(按键和鼠标)、代理支持、邮箱搜索功能以及从文件/URL/字符串加载数据的能力。目前,这些功能已经引起了几个不同威胁组织的注意,并可能被用来发起恶意活动。创建的服务包括BAS的自定义脚本,例如与TelegramAPI交互,或开发“bruters”和“recruiters”。Bruters是一种执行撞库攻击的软件。在Bumblebee、BlackGuard和RedLine等恶意软件的C2基础设施中,研究人员观察到与downloads.bablosoft[.]com(解析IP地址46.101.13.144)的连接。他们假设威胁行为者正在下载用于恶意活动的工具。“来自这个IP地址的威胁遥测数据显示,绝大多数活动都来自俄罗斯和乌克兰的位置,”研究人员说。研究人员还在他们对BlackGuard和RedLine的C2基础设施的分析中确定了BAS的几个用例。其中之一是“gmail帐户检查器”,威胁行为者可以使用它来评估被盗凭据的有效性。研究人员补充说,“在检查来自Bablosoft基础设施其他元素的威胁遥测时,我们发现了几个与连接到指纹的加密劫持恶意软件相关的主机..bablosoft[.]com.BAS服务的指纹元素允许用户更改他们的浏览器指纹,威胁参与者也可以使用该功能作为匿名化或规范化他们活动的手段。”原文链接:https://www.databreachtoday.com/threat-actors-exploiting-free-browser-automation-framework-a-19157
