Python betiği olan Xeon Sender, tehdit aktörlerinin dokuz farklı SaaS sağlayıcısı üzerinden spam mesajları göndermesini sağlayan bir araçtır.
İlk olarak 2022 yılında gözlemlenen bu araç, çeşitli tehdit aktörleri tarafından bulut hacktool sahnesinde yeniden kullanıldı ve yeniden markalandı.
Xeon Sender, SaaS platformlarından yararlanarak, giderek kötü amaçlı faaliyetleri yürütmek için taktik olarak kullanılan SMS spam ve smishing kampanyalarını kolaylaştırır.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Bulut saldırı aracı, Amazon SNS, Nexmo, Plivo, Proovl, Send99, Telesign, Telnyx, TextBelt ve Twilio gibi çeşitli SaaS sağlayıcılarının meşru API’lerini kullanarak toplu SMS spam ve kimlik avı kampanyaları yürütüyor.
Araç, bu servis sağlayıcıların geçerli kimlik bilgilerini kullanarak mesajları toplu olarak gönderiyor ve servis sağlayıcıların kendilerindeki herhangi bir güvenlik açığını atlatıyor.
Telegram ve diğer hacker forumları aracılığıyla dağıtılan Xeon Sender, bu kötü amaçlı kampanyaların hedef alabileceği kullanıcılar için önemli bir tehdit oluşturuyor.
2022 yılında ortaya çıkan ve o zamandan bu yana çeşitli aktörler tarafından küçük değişikliklere uğrayan uygulama; bu değişikliklere rağmen temel işlevselliğini korumaktadır.
Araç, çevrimiçi forumlar ve Telegram kanalları aracılığıyla yaygın bir şekilde dağıtıldı ve siber suçlular arasında önemli bir popülerlik kazandı.
Haziran 2023’te bir bilgisayar korsanlığı forumunda Xeon Sender’ı öven bir gönderi, topluluktan önemli ilgi gördü ve itibarını daha da sağlamlaştırdı.
SMS gönderme aracı, Python tabanlı bir uygulamadan web tabanlı bir arayüze evrildi ve bu sayede teknik becerileri sınırlı olan kişiler için daha erişilebilir hale geldi; bu da kullanıcıların Python yüklemesi veya bağımlılıkları yönetmesi ihtiyacını ortadan kaldırarak aracın kullanımını basitleştiriyor.
Ayrıca, SVG SMS olarak bilinen aracın bir çeşidinin tespit edildiği ve Telegram’da Savage Benz adlı bir kullanıcıya atfedildiği, aracın geliştirilme ve dağıtımının devam ettiği ve birden fazla kişi veya grubu içerebileceği öne sürülüyor.
Xeon Sender, saldırganların çalınan kimlik bilgileriyle sağlayıcıların API’lerini kullanmalarına olanak tanıyan kullanıcı dostu bir arayüz sunarak dokuz farklı SMS servis sağlayıcısı üzerinden SMS spam saldırılarını kolaylaştıran kötü amaçlı bir Python betiğidir.
API anahtarları, gönderici kimlikleri ve alıcı telefon numaraları gibi çeşitli girdilerin ayrı metin dosyalarında saklanmasını gerektirir ve Python istek kitaplığını veya hizmete özgü modülleri kullanarak mesajı içeren istekler oluşturur ve alıcı listesini yineleyerek her mesaj arasında kısa bir gecikmeyle SMS spam’i gönderir.
Birden fazla sağlayıcının API’leri aracılığıyla SMS spam saldırıları göndermek için kullanılan bir araçtır. Bu API’ler, istekleri oluşturmak için sağlayıcıya özgü Python kütüphanelerini kullanır ve bu da tespit edilmesini zorlaştırır.
Aracın kendisi henüz tam olarak geliştirilmemiş olsa da, savunmacılar potansiyel suistimalleri tespit etmek için SMS gönderme izinleri ve dağıtım listeleriyle ilgili faaliyetleri izlemelidir.
Sentinel Labs’a göre Xeon Sender, büyük ihtimalle diğer araçlar aracılığıyla elde edilen mevcut hesapları hedef alıyor ve bazı sağlayıcıların hata işleme sürecindeki zayıflıkları (örneğin, sonuçtan bağımsız olarak yalnızca ‘Başarılı’ mesajı bildirmesi) istismar ediyor.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Acces