安全公司Team Cymru的研究人員表示，越來越多的威脅參與者正在使用免費的瀏覽器自動化框架作為其攻擊活動的一部分。

研究人員表示，該框架的技術準入門檻故意保持在較低水平，以創建一個由內容開發者和貢獻者組成的活躍社區，同時，地下經濟中的參與者也會宣傳他們創建的定制工具。研究人員稱，

“考慮到越來越多的威脅團體已將該框架納入其工具包中，我們也著手對該框架進行了深入研究。”

Cymru團隊觀察到，與Bumblebee加載程序以及BlackGuard和RedLine竊取程序相關的命令和控制（C2）基礎設施和工具存儲庫Bablosoft的下載子域（downloads.bablosoft[.]com）建立了連接。

事實上，這并非Bablosoft第一次被記錄在案。早在F5 Labs針對撞庫攻擊的研究以及NTT針對GRIM SPIDER黑客組織所用工具包的研究中就已經發現了它的蹤影。

研究人員指出，根據已使用Bablosoft網站所提供工具的惡意行為者數量，我們預計Browser Automation Studio（簡稱BAS）將成為威脅參與者工具包中更常見的元素。BAS是Bablosoft的自動化工具，它允許用戶使用瀏覽器、HTTP客戶端、電子郵件客戶端和其他庫創建應用程序。

F5 Labs在其關于撞庫攻擊的報告中指出，“我們認為BAS將在惡意活動中日益普及的原因之一是，Bablosoft社區的活躍狀態以及該軟件的分發和銷售形式都會加速它的應用。”

研究人員還發現了一個名為“Bablosoft – BAS chat”的非官方Telegram群組，該群組擁有1000多名用戶，這足以凸顯圍繞該工具的社區活躍水平。值得一提的是，研究顯示，該群組似乎主要由講俄語的人使用，主要用于分享有關新功能、腳本和提示的更新信息。

技術分析

研究人員介紹稱，BAS工具的功能包括瀏覽器模擬、模仿用戶行為（擊鍵和鼠標）、代理支持、郵箱搜索功能以及從文件/URL/字符串加載數據的能力。目前，這些功能已經吸引了多個不同的威脅組織的注意，并可能被用于啟動惡意活動。

創建的服務包括BAS的定制腳本，例如與Telegram API交互，或開發“bruters”和“recruiters”。Bruters是一款執行撞庫攻擊的軟件。

在Bumblebee、BlackGuard和RedLine等惡意軟的C2基礎設施中，研究人員觀察到了與downloads.bablosoft[.]com（解析IP地址為46.101.13.144）的連接。他們假設威脅參與者正在下載用于惡意活動的工具。研究人員稱，

“根據該IP地址的威脅遙測數據顯示，絕大多數活動都來自俄羅斯和烏克蘭的位置。”

研究人員在分析BlackGuard和RedLine的C2基礎設施時還確定了BAS的幾個用例。其中一個為“gmail帳戶檢查器”，威脅參與者可能會使用它來評估被盜憑據的有效性。

研究人員補充道，

“在檢查Bablosoft基礎設施其他元素的威脅遙測時，我們發現了幾個與加密劫持惡意軟件相關的主機，這些主機連接到了fingerprints..bablosoft[.]com。BAS服務的指紋元素允許用戶更改他們的瀏覽器指紋，而威脅行為者也可能將該功能用作匿名化或規范化其活動的一種手段。”