Kötü niyetli aktörler, meşru hizmetleri suistimal ederek büyük ölçekte SMS kimlik avı ve spam kampanyaları yürütmek için Xeon Sender adlı bir bulut saldırı aracı kullanıyor.
“Saldırganlar, hizmet sağlayıcıların geçerli kimlik bilgilerini kullanarak birden fazla yazılım hizmeti (SaaS) sağlayıcısı aracılığıyla mesaj göndermek için Xeon’u kullanabilirler,” SentinelOne güvenlik araştırmacısı Alex Delamotte söz konusu The Hacker News ile paylaşılan bir raporda.
SMS mesajlarının toplu olarak dağıtımını kolaylaştırmak için kullanılan servislere örnek olarak Amazon Simple Notification Service (SNS), Nexmo, Plivo, Proovl, Send99, Telesign, Telnyx, TextBelt, Twilio verilebilir.
Burada, etkinliğin bu sağlayıcılardaki herhangi bir içsel zayıflıktan yararlanmadığını belirtmek önemlidir. Bunun yerine, araç toplu SMS spam saldırıları gerçekleştirmek için meşru API’leri kullanır.
Toplu e-posta göndermenin giderek daha fazla bir yolu haline gelen SNS Sender gibi araçlara katılıyor smishing mesajları ve nihayetinde hedeflerden hassas bilgileri ele geçirirler.
Telegram ve hack forumları aracılığıyla dağıtılır, eski sürümlerden biri, crack hacktools reklamı yapan bir Telegram kanalına atıfta bulunur. ZIP dosyası olarak indirilebilen en son sürüm, kendisini şu adlı bir Telegram kanalına atfeder: Orion Araçxhub (oriontoolxhub) 200 üyesi var.
Orion Toolxhub 1 Şubat 2023’te oluşturuldu. Ayrıca, kaba kuvvet saldırıları, ters IP adresi aramaları ve WordPress site tarayıcısı, PHP web kabuğu, Bitcoin kesme makinesi ve sınırsız SMS gönderme yetenekleri sunduğunu iddia eden YonixSMS adlı bir program gibi diğer yazılımları da ücretsiz olarak kullanıma sundu.
Xeon Sender, XeonV5 ve SVG Sender olarak da anılır. Python tabanlı programın erken sürümleri 2022 gibi erken bir tarihte tespit edildi. O zamandan beri çeşitli tehdit aktörleri tarafından kendi amaçları için yeniden kullanıldı.
“Aracın bir diğer enkarnasyonu, GUI’li bir web sunucusunda barındırılıyor,” dedi Delamotte. “Bu barındırma yöntemi, Python araçlarını çalıştırma ve bağımlılıklarını giderme konusunda rahat olmayabilecek daha düşük becerili aktörlerin erişime yönelik olası bir engeli ortadan kaldırıyor.”
Kullanılan varyant ne olursa olsun Xeon Sender, kullanıcılarına seçilen servis sağlayıcının arka uç API’leriyle iletişim kurmak ve toplu SMS spam saldırılarını düzenlemek için kullanılabilen bir komut satırı arayüzü sunar.
Bu ayrıca tehdit aktörlerinin uç noktalara erişmek için gereken API anahtarlarına zaten sahip olduğu anlamına gelir. Oluşturulan API istekleri ayrıca gönderici kimliğini, mesaj içeriklerini ve bir metin dosyasında bulunan önceden tanımlanmış bir listeden seçilen telefon numaralarından birini içerir.
Xeon Sender, SMS gönderme yöntemlerinin yanı sıra Nexmo ve Twilio hesap kimlik bilgilerini doğrulama, verilen ülke kodu ve alan kodu için telefon numaraları oluşturma ve sağlanan telefon numarasının geçerli olup olmadığını kontrol etme özelliklerini de bünyesinde barındırıyor.
SentinelOne, aracın incelik eksikliğine rağmen kaynak kodunun tek harfler veya bir harf artı bir rakam gibi belirsiz değişkenlerle dolu olduğunu ve bu durumun hata ayıklamayı çok daha zor hale getirdiğini söyledi.
“Xeon Sender, API isteklerini oluşturmak için büyük ölçüde sağlayıcıya özgü Python kitaplıkları kullanır ve bu da ilginç tespit zorlukları sunar,” dedi Delamotte. “Her kitaplık benzersizdir, sağlayıcının günlükleri de öyle. Ekiplerin belirli bir hizmetin kötüye kullanımını tespit etmesi zor olabilir.”
“Xeon Sender gibi tehditlere karşı savunma sağlamak için kuruluşlar, SMS gönderme izinlerinin değerlendirilmesi veya değiştirilmesi veya dağıtım listelerinde anormal değişiklikler yapılması gibi faaliyetleri (örneğin, yeni alıcı telefon numaralarının büyük miktarda yüklenmesi) izlemelidir.”