您所在的位置: 首頁 >
新聞資訊 >
威脅情報(bào) >
黑客利用Xeon Sender發(fā)起大規(guī)模短信釣魚攻擊
惡意行為者正在使用一種名為 Xeon Sender 的云攻擊工具,通過濫用合法服務(wù)大規(guī)模開展短信釣魚和垃圾郵件活動(dòng)。
SentinelOne安全研究員Alex Delamotte在與《黑客新聞》分享的一份報(bào)告中提到:攻擊者可以利用Xeon通過多個(gè)軟件即服務(wù)(SaaS)提供商,使用服務(wù)提供商的有效憑證發(fā)送信息。
據(jù)悉,用于大規(guī)模分發(fā)短信的服務(wù)包括亞馬遜通知服務(wù)(SNS)、Nexmo、Plivo、Proovl、Send99、Telesign、Telnyx、TextBelt 和 Twilio。
值得注意的是,該活動(dòng)并沒有利用這些提供商的任何固有弱點(diǎn),而是使用合法的 API 進(jìn)行垃圾短信群發(fā)攻擊。還引用了 SNS Sender 等工具,這些工具越來越多地成為批量發(fā)送釣魚信息并最終獲取目標(biāo)敏感信息的途徑。
其主要是通過 Telegram 和黑客論壇傳播,其中一個(gè)舊版本歸功于一個(gè)專門宣傳破解黑客工具的 Telegram 頻道。最新版本以 ZIP 文件形式提供下載,歸功于一個(gè)名為 Orion Toolxhub的 Telegram 頻道,該頻道有 200 名成員。
Orion Toolxhub 創(chuàng)建于 2023 年 2 月 1 日,免費(fèi)為成員提供可用于暴力破解攻擊、IP 地址反向查詢的軟件,如 WordPress 網(wǎng)站掃描器、PHP web shell、比特幣剪切器,以及一個(gè)名為 YonixSMS 的程序,該程序聲稱可提供無限短信發(fā)送功能。
Xeon Sender 也被稱為 XeonV5 和 SVG Sender,這個(gè)基于 Python 的程序的早期版本最早在 2022 年被檢測到。
Delamotte 表示,該工具的另一個(gè)化身是托管在帶有圖形用戶界面的網(wǎng)絡(luò)服務(wù)器上。這種托管方式消除了潛在的訪問障礙,使那些可能不擅長運(yùn)行 Python 工具并對其依賴關(guān)系進(jìn)行故障排除的技術(shù)水平較低的攻擊者也能使用。
無論使用哪種變體,Xeon Sender 都為用戶提供了一個(gè)命令行界面,可用于與所選服務(wù)提供商的后臺(tái) API 通信,并協(xié)調(diào)垃圾短信群發(fā)攻擊。
這也意味著威脅分子已經(jīng)掌握了訪問端點(diǎn)所需的 API 密鑰。精心制作的 API 請求還包括發(fā)件人 ID、信息內(nèi)容以及從文本文件中的預(yù)定義列表中選擇的電話號(hào)碼之一。
除了短信發(fā)送方法外,Xeon Sender還具有驗(yàn)證Nexmo和Twilio賬戶憑證、為給定的國家代碼和地區(qū)代碼生成電話號(hào)碼以及檢查所提供的電話號(hào)碼是否有效等功能。
SentinelOne 表示,盡管該工具缺乏精細(xì)度,但源代碼中充滿了單個(gè)字母或字母加數(shù)字等模棱兩可的變量,使調(diào)試工作更具挑戰(zhàn)性。
Xeon Sender 主要使用供應(yīng)商特定的 Python 庫來制作 API 請求,這給檢測帶來了更大的挑戰(zhàn)。因?yàn)槊總€(gè)庫都是獨(dú)一無二的,提供商的日志也是如此,團(tuán)隊(duì)可能很難檢測到對特定服務(wù)的濫用行為。
因此,為了抵御 Xeon Sender 這樣的威脅,企業(yè)應(yīng)該監(jiān)控與評(píng)估或修改短信發(fā)送權(quán)限相關(guān)的活動(dòng),或?qū)Ψ职l(fā)列表的異常更改,如大量上傳新的收件人電話號(hào)碼。
參考資料:https://thehackernews.com/2024/08/xeon-sender-tool-exploits-cloud-apis.html
原文來源:FreeBuf