Експерти з кібербезпеки SentinelOne виявили нову загрозу – інструмент Xeon Sender, який використовується зловмисниками для проведення масштабних SMS-фішингових та спам-кампаній. Особливість цього інструменту полягає у зловживанні можливостями легітимних сервісів, що ускладнює його виявлення та блокування.
Принцип роботи Xeon Sender
Xeon Sender дозволяє кіберзлочинцям здійснювати масові розсилки SMS через різноманітні SaaS-провайдери, використовуючи дійсні облікові дані. Серед сервісів, якими зловмисники можуть зловживати, експерти виділяють: Amazon Simple Notification Service (SNS), Nexmo, Plivo, Proovl, Send99, Telesign, Telnyx, TextBelt та Twilio. Важливо зазначити, що ця активність не пов’язана з вразливостями самих провайдерів – інструмент використовує легітимні API для проведення атак.
Розповсюдження та еволюція інструменту
Дослідники SentinelOne встановили, що Xeon Sender поширюється переважно через Telegram та хакерські форуми. Одна з ранніх версій інструменту була пов’язана з Telegram-каналом, де рекламувалися різні зламані хакерські інструменти. Найновіша версія, доступна для завантаження у вигляді ZIP-архіву, асоціюється з Telegram-каналом Orion Toolxhub, створеним 1 лютого 2023 року.
Технічні особливості та функціонал
Xeon Sender, також відомий як XeonV5 та SVG Sender, пройшов значну еволюцію з моменту появи ранніх Python-версій у 2022 році. Нова інкарнація інструменту розміщується на веб-сервері з графічним інтерфейсом, що робить його доступнішим для менш кваліфікованих зловмисників. Незалежно від версії, Xeon Sender пропонує інтерфейс командного рядка для взаємодії з внутрішніми API обраного провайдера та проведення масових SMS-розсилок.
Функціональність та можливості Xeon Sender
Інструмент включає функції перевірки облікових даних Nexmo та Twilio, генерації телефонних номерів для заданого коду країни та регіону, а також перевірки дійсності вказаного телефонного номера. Для роботи з Xeon Sender зловмисникам необхідно мати API-ключі для доступу до ендпоінтів провайдерів. Підготовлені API-запити містять ID відправника, зміст повідомлення та телефонний номер з попередньо підготовленого списку.
Проблеми виявлення та захисту
Експерти SentinelOne підкреслюють, що Xeon Sender використовує специфічні для кожного провайдера бібліотеки Python для складання API-запитів, що створює значні труднощі для виявлення зловживань. Кожна бібліотека унікальна, як і логи провайдера, що ускладнює ідентифікацію несанкціонованого використання сервісів.
Для захисту від загроз, подібних до Xeon Sender, фахівці рекомендують організаціям ретельно відстежувати активність, пов’язану зі змінами дозволів на відправку SMS, а також аномальні зміни в списках розсилок, такі як завантаження великої кількості нових телефонних номерів отримувачів. Впровадження багаторівневої системи безпеки та постійний моніторинг активності користувачів допоможуть мінімізувати ризики від подібних атак та захистити критичну інфраструктуру організацій.
