惡意行為者正在使用一種名為 Xeon Sender 的云攻擊工具，通過濫用合法服務(wù)大規(guī)模開展短信釣魚和垃圾郵件活動。

SentinelOne安全研究員亞Alex Delamotte在與《黑客新聞》分享的一份報告中提到：攻擊者可以利用Xeon通過多個軟件即服務(wù)（SaaS）提供商，使用服務(wù)提供商的有效憑證發(fā)送信息。

據(jù)悉，用于大規(guī)模分發(fā)短信的服務(wù)包括亞馬遜通知服務(wù)（SNS）、Nexmo、Plivo、Proovl、Send99、Telesign、Telnyx、TextBelt 和 Twilio。

值得注意的是，該活動并沒有利用這些提供商的任何固有弱點，而是使用合法的 API 進行垃圾短信群發(fā)攻擊。還引用了 SNS Sender 等工具，這些工具越來越多地成為批量發(fā)送釣魚信息并最終獲取目標(biāo)敏感信息的途徑。

其主要是通過 Telegram 和黑客論壇傳播，其中一個舊版本歸功于一個專門宣傳破解黑客工具的 Telegram 頻道。最新版本以 ZIP 文件形式提供下載，歸功于一個名為 Orion Toolxhub的 Telegram 頻道，該頻道有 200 名成員。

Orion Toolxhub 創(chuàng)建于 2023 年 2 月 1 日，免費為成員提供可用于暴力破解攻擊、IP 地址反向查詢的軟件，如 WordPress 網(wǎng)站掃描器、PHP web shell、比特幣剪切器，以及一個名為 YonixSMS 的程序，該程序聲稱可提供無限短信發(fā)送功能。

Xeon Sender 也被稱為 XeonV5 和 SVG Sender。這個基于 Python 的程序的早期版本最早在 2022 年被檢測到。

Delamotte 表示：該工具的另一個化身是托管在帶有圖形用戶界面的網(wǎng)絡(luò)服務(wù)器上。這種托管方式消除了潛在的訪問障礙，使那些可能不擅長運行 Python 工具并對其依賴關(guān)系進行故障排除的技術(shù)水平較低的攻擊者也能使用。

無論使用哪種變體，Xeon Sender 都為用戶提供了一個命令行界面，可用于與所選服務(wù)提供商的后臺 API 通信，并協(xié)調(diào)垃圾短信群發(fā)攻擊。

這也意味著威脅分子已經(jīng)掌握了訪問端點所需的 API 密鑰。精心制作的 API 請求還包括發(fā)件人 ID、信息內(nèi)容以及從文本文件中的預(yù)定義列表中選擇的電話號碼之一。

除了短信發(fā)送方法外，Xeon Sender還具有驗證Nexmo和Twilio賬戶憑證、為給定的國家代碼和地區(qū)代碼生成電話號碼以及檢查所提供的電話號碼是否有效等功能。

SentinelOne 表示，盡管該工具缺乏精細度，但源代碼中充滿了單個字母或字母加數(shù)字等模棱兩可的變量，使調(diào)試工作更具挑戰(zhàn)性。

Xeon Sender 主要使用供應(yīng)商特定的 Python 庫來制作 API 請求，這給檢測帶來了更大的挑戰(zhàn)。因為每個庫都是獨一無二的，提供商的日志也是如此，團隊可能很難檢測到對特定服務(wù)的濫用行為。

因此，為了抵御 Xeon Sender 這樣的威脅，企業(yè)應(yīng)該監(jiān)控與評估或修改短信發(fā)送權(quán)限相關(guān)的活動，或?qū)Ψ职l(fā)列表的異常更改，如大量上傳新的收件人電話號碼。