5月27日消息,安全公司Team
Cymru的研究人员表示,越来越多的威胁参与者正在使用免费的浏览器自动化框架作为其攻击活动的一部分。
研究人员表示,该框架的技术准入门槛故意保持在较低水平,以创建一个由内容开发者和贡献者组成的活跃社区,同时,地下经济中的参与者也会宣传他们创建的定制工具。研究人员称,
“考虑到越来越多的威胁团体已将该框架纳入其工具包中,我们也着手对该框架进行了深入研究。”
Cymru团队观察到,与Bumblebee加载程序以及BlackGuard和RedLine窃取程序相关的命令和控制(C2)基础设施和工具存储库Bablosoft的下载子域(downloads.bablosoft[.]com)建立了连接。
事实上,这并非Bablosoft第一次被记录在案。早在F5 Labs针对撞库攻击的研究以及NTT针对GRIM
SPIDER黑客组织所用工具包的研究中就已经发现了它的踪影。
研究人员指出,根据已使用Bablosoft网站所提供工具的恶意行为者数量,我们预计Browser Automation
Studio(简称BAS)将成为威胁参与者工具包中更常见的元素。BAS是Bablosoft的自动化工具,它允许用户使用浏览器、HTTP客户端、电子邮件客户端和其他库创建应用程序。
F5
Labs在其关于撞库攻击的报告中指出,“我们认为BAS将在恶意活动中日益普及的原因之一是