Kötü niyetli aktörler, meşru hizmetleri suistimal ederek büyük ölçekte SMS kimlik avı ve spam kampanyaları yürütmek için Xeon Sender adlı bir bulut saldırı aracı kullanıyor.
SentinelOne güvenlik araştırmacısı Alex Delamotte, The Hacker News ile paylaştığı raporda, “Saldırganlar, hizmet sağlayıcıların geçerli kimlik bilgilerini kullanarak, birden fazla yazılım hizmeti (SaaS) sağlayıcısı aracılığıyla mesaj göndermek için Xeon’u kullanabilir” dedi.
SMS mesajlarının toplu olarak dağıtımını kolaylaştırmak için kullanılan servislere örnek olarak Amazon Simple Notification Service (SNS), Nexmo, Plivo, Proovl, Send99, Telesign, Telnyx, TextBelt, Twilio verilebilir.
Burada, etkinliğin bu sağlayıcılardaki herhangi bir içsel zayıflıktan yararlanmadığını belirtmek önemlidir. Bunun yerine, araç toplu SMS spam saldırıları gerçekleştirmek için meşru API’leri kullanır.
Toplu smishing mesajları göndermenin ve hedeflerden hassas bilgileri ele geçirmenin giderek daha çok kullanılan bir yolu haline gelen SNS Sender gibi araçlara katılıyor.
Telegram ve hack forumları aracılığıyla dağıtılır, eski sürümlerden biri kırık hack araçlarının reklamını yapan bir Telegram kanalına atıfta bulunur. ZIP dosyası olarak indirilebilen en son sürüm, 200 üyesi olan Orion Toolxhub (oriontoolxhub) adlı bir Telegram kanalına atıfta bulunur.
Orion Toolxhub 1 Şubat 2023’te oluşturuldu. Ayrıca, kaba kuvvet saldırıları, ters IP adresi aramaları ve WordPress site tarayıcısı, PHP web kabuğu, Bitcoin kesme makinesi ve sınırsız SMS gönderme yetenekleri sunduğunu iddia eden YonixSMS adlı bir program gibi diğer yazılımları da ücretsiz olarak kullanıma sundu.
Xeon Sender, XeonV5 ve SVG Sender olarak da anılır. Python tabanlı programın erken sürümleri 2022 gibi erken bir tarihte tespit edildi. O zamandan beri çeşitli tehdit aktörleri tarafından kendi amaçları için yeniden kullanıldı.
“Aracın bir diğer enkarnasyonu, GUI’li bir web sunucusunda barındırılıyor,” dedi Delamotte. “Bu barındırma yöntemi, Python araçlarını çalıştırma ve bağımlılıklarını giderme konusunda rahat olmayabilecek daha düşük becerili aktörlerin erişime yönelik olası bir engeli ortadan kaldırıyor.”
Kullanılan varyant ne olursa olsun Xeon Sender, kullanıcılarına seçilen servis sağlayıcının arka uç API’leriyle iletişim kurmak ve toplu SMS spam saldırılarını düzenlemek için kullanılabilen bir komut satırı arayüzü sunar.
Bu ayrıca tehdit aktörlerinin uç noktalara erişmek için gereken API anahtarlarına zaten sahip olduğu anlamına gelir. Oluşturulan API istekleri ayrıca gönderici kimliğini, mesaj içeriklerini ve bir metin dosyasında bulunan önceden tanımlanmış bir listeden seçilen telefon numaralarından birini içerir.
Xeon Sender, SMS gönderme yöntemlerinin yanı sıra Nexmo ve Twilio hesap kimlik bilgilerini doğrulama, verilen ülke kodu ve alan kodu için telefon numaraları oluşturma ve sağlanan telefon numarasının geçerli olup olmadığını kontrol etme özelliklerini de bünyesinde barındırıyor.
SentinelOne, aracın incelik eksikliğine rağmen kaynak kodunun tek harfler veya bir harf artı bir rakam gibi belirsiz değişkenlerle dolu olduğunu ve bu durumun hata ayıklamayı çok daha zor hale getirdiğini söyledi.
“Xeon Sender, API isteklerini oluşturmak için büyük ölçüde sağlayıcıya özgü Python kitaplıkları kullanır ve bu da ilginç tespit zorlukları sunar,” dedi Delamotte. “Her kitaplık benzersizdir, sağlayıcının günlükleri de öyle. Ekiplerin belirli bir hizmetin kötüye kullanımını tespit etmesi zor olabilir.”
“Xeon Sender gibi tehditlere karşı savunma sağlamak için kuruluşlar, SMS gönderme izinlerinin değerlendirilmesi veya değiştirilmesi veya dağıtım listelerinde anormal değişiklikler yapılması gibi faaliyetleri (örneğin, yeni alıcı telefon numaralarının büyük miktarda yüklenmesi) izlemelidir.”