恶意行为者正在使用名为 Xeon Sender 的云攻击工具,通过滥用合法服务进行大规模的短信、网络钓鱼和垃圾邮件活动。 “攻击者可以使用Xeon通过多个软件即服务(SaaS)提供商发送消息,使用服务提供商的有效凭据,”SentinelOne安全研究员Alex Delamotte在与The Hacker News分享的一份报告中说。 用于促进 SMS 消息大规模分发的服务示例包括 Amazon Simple Notification Service (SNS)、Nexmo、Plivo、Proovl、Send99、Telesign、Telnyx、TextBelt、Twilio。 这里需要注意的是,该活动不会利用这些提供商的任何固有弱点。相反,该工具使用合法的 API 进行批量短信垃圾邮件攻击。 它加入了 SNS Sender 等工具,这些工具已日益成为发送批量短信钓鱼消息并最终从目标捕获敏感信息的一种方式。 通过 Telegram 和黑客论坛分发,其中一个旧版本归功于一个专门用于广告破解黑客工具的 Telegram 频道。最新版本可作为ZIP文件下载,它归因于一个名为Orion Toolxhub(oriontoolxhub)的Telegram频道,该频道有200名成员。 Orion Toolxhub 创建于 2023 年 2 月 1 日。它还免费提供其他软件,用于暴力攻击、反向 IP 地址查找以及其他软件,例如 WordPress 网站扫描器、PHP Web Shell、比特币剪刀和一个名为 YonixSMS 的程序,该程序声称提供无限的短信发送功能。 Xeon Sender 也称为 XeonV5 和 SVG Sender。基于 Python 的程序的早期版本早在 2022 年就已被检测到。此后,它被几个威胁行为者重新用于他们自己的目的。 “该工具的另一个化身托管在带有 GUI 的 Web 服务器上,”Delamotte 说。“这种托管方法消除了潜在的访问障碍,使技能较低的参与者能够适应运行 Python 工具并对其依赖项进行故障排除。” 无论使用何种变体,Xeon Sender 都为其用户提供了一个命令行界面,可用于与所选服务提供商的后端 API 进行通信并编排批量 SMS 垃圾邮件攻击。 这也意味着威胁参与者已经拥有访问端点所需的必要 API 密钥。构建的 API 请求还包括发件人 ID、消息内容以及从文本文件中存在的预定义列表中选择的电话号码之一。 Xeon Sender 除了其 SMS 发送方法外,还集成了验证 Nexmo 和 Twilio 帐户凭据、为给定国家/地区代码和区号生成电话号码以及检查提供的电话号码是否有效的功能。 尽管缺乏与该工具相关的技巧,但SentinelOne表示,源代码中充满了模棱两可的变量,如单个字母或字母加一个数字,使调试更具挑战性。 Delamotte 说:“Xeon Sender 主要使用特定于提供商的 Python 库来制作 API 请求,这带来了有趣的检测挑战。“每个库都是独一无二的,提供商的日志也是如此。团队可能很难检测到对特定服务的滥用。 “为了抵御像Xeon Sender这样的威胁,组织应该监控与评估或修改短信发送权限或分发列表的异常更改相关的活动,例如大量上传新的收件人电话号码。”
|