网络犯罪分子正在利用一种名为Xeon发件人的精致工具,以发起大规模的短信网络钓鱼(Smishing)和垃圾邮件活动。通过利用合法的云服务,攻击者可以发送大量未经请求的消息,绕过传统的安全措施。
Xeon发件人在短信网络钓鱼活动中的角色
Xeon发件人使攻击者通过使用有效的凭据利用多个软件即服务(SaaS)提供商来发送批量SMS消息。
根据哨兵安全研究员亚历克斯·德拉莫特(Alex Delamotte),该工具允许网络犯罪分子利用诸如亚马逊简单通知服务(SNS),Nexmo,Plivo,proovl,send99,telesign,telesign,telnyx,textbelt和twilio等服务的API,以发送大量垃圾邮件消息。
重要的是,这些活动不依赖服务提供商本身内的任何漏洞。取而代之的是,Xeon发件人使用合法的API进行大量SMS垃圾邮件攻击,使其成为网络犯罪分子武器库中的重要工具。
该工具类似于SNS发件人,SNS发件人经常用于分发旨在从毫无戒心的受害者那里窃取敏感信息的smishing消息。
Xeon发件人的分布和演变
Xeon发件人通过电报频道和黑客论坛广泛分发,通常伴随着其他恶意工具。较早的版本之一甚至归功于一个电报频道,该频道致力于促进破裂的黑客。
Xeon发件人的最新迭代,可下载为zip文件,将自己归因于名为的电报频道Orion ToolXhub,它于2023年2月1日创建,约有200名成员。
Orion ToolxHub提供了各种其他恶意软件,包括用于蛮力攻击的工具,反向IP地址查找,WordPress站点扫描仪,PHP Web壳,比特币剪刀和Yonixsms,该程序声称可以提供无限制的SMS发送功能。
Xeon发件人,也称为Xeonv5和SVG发件人,自2022年以来就一直存在。最初是作为基于Python的程序开发的,已由各种威胁行为者重新使用,以实现自己的邪恶目的。
随着时间的流逝,该工具已经发展为满足不同网络犯罪分子的需求,包括具有图形用户界面(GUI)的Web服务器托管版本,该版本简化了对技术较熟练的参与者的使用。
Xeon发件人的功能和功能
根据黑客新闻,Xeon Sender为用户提供了一个命令行界面(CLI),以与所选服务提供商的后端API通信,从而使他们能够协调散装SMS垃圾邮件攻击。该工具还要求攻击者已经拥有必要的API密钥来访问服务端点。这些API请求通常包括发件人ID,消息内容和电话号码,它们通常来自存储在文本文件中的预定义列表。
除SMS发送功能外,Xeon Sender还具有验证Nexmo和Twilio帐户凭据的功能,根据特定国家 /地区和区域代码生成电话号码,并检查提供的电话号码的有效性。
检测和减轻Xeon发件人攻击方面的挑战
尽管该工具的基本设计,Sentinelone指出其源代码被故意混淆了模棱两可的变量,因此调试挑战。 Xeon发件人主要使用特定于提供商的Python库来制作API请求,该请求给网络安全团队带来了重大的检测挑战。
由于每个图书馆和提供商的日志都是唯一的,因此发现这些服务的滥用可能很困难,从而使减轻这些大规模的SMS垃圾邮件攻击的努力变得复杂。
Delamotte说:“为了防止诸如Xeon发件人之类的威胁,组织应监视与评估或修改SMS发送权限或分配列表异常更改有关的活动,例如大量新的接收者电话号码。”
