Эксперты по кибербезопасности из компании SentinelOne обнаружили новую угрозу в виде инструмента Xeon Sender, который злоумышленники используют для проведения масштабных атак, SMS-фишинга и спам-кампаний. Этот инструмент позволяет злоупотреблять возможностями легитимных сервисов, что делает его особенно опасным и трудным для обнаружения.
Механизм работы Xeon Sender
Xeon Sender использует действительные учетные данные для рассылки сообщений через множество SaaS-провайдеров. Среди сервисов, которыми могут злоупотреблять атакующие, выделяются Amazon Simple Notification Service (SNS), Nexmo, Plivo, Proovl, Send99, Telesign, Telnyx, TextBelt и Twilio. Важно отметить, что эта активность не связана с уязвимостями самих провайдеров, а использует их легитимные API для проведения атак.
Распространение и эволюция инструмента
Xeon Sender распространяется преимущественно через Telegram и хакерские форумы. Исследователи обнаружили связь между старыми версиями инструмента и Telegram-каналом, рекламирующим различные взломанные хакерские инструменты. Новейшая версия, доступная в виде ZIP-архива, предположительно связана с Telegram-каналом Orion Toolxhub, созданным 1 февраля 2023 года.
От Python к веб-интерфейсу
Изначально Xeon Sender был разработан на базе Python и обнаружен еще в 2022 году. С тех пор инструмент эволюционировал, и его новая версия размещается на веб-сервере с графическим интерфейсом. Это значительно упростило использование Xeon Sender, сделав его доступным даже для менее квалифицированных злоумышленников.
Функциональность и потенциальные угрозы
Xeon Sender предоставляет интерфейс командной строки для связи с внутренними API выбранного провайдера и проведения массовых SMS-рассылок. Для работы инструмента злоумышленнику необходимы API-ключи для доступа к эндпоинтам. Помимо рассылки SMS, Xeon Sender включает функции проверки учетных данных, генерации телефонных номеров и верификации их действительности.
Сложности обнаружения
Особую опасность представляет использование Xeon Sender специфических для провайдеров библиотек Python для составления API-запросов. Это значительно усложняет обнаружение злоупотреблений, так как каждая библиотека уникальна, как и логи провайдера.
Рекомендации по защите
Для защиты от угроз, подобных Xeon Sender, специалисты рекомендуют организациям внимательно отслеживать активность, связанную с изменением разрешений на отправку SMS. Также важно мониторить аномальные изменения в списках рассылок, такие как внезапная загрузка большого количества новых телефонных номеров получателей.
Угроза, представляемая Xeon Sender, подчеркивает важность постоянного совершенствования систем кибербезопасности и бдительности в отношении новых методов атак. Организациям следует регулярно проводить аудит своих систем безопасности, обучать персонал распознаванию признаков потенциальных атак и внедрять многоуровневые системы защиты для минимизации рисков, связанных с подобными инструментами.