Kwaadwillende actoren gebruiken een cloud-aanvalstool genaamd Xeon Sender om op grote schaal sms-phishing- en spamcampagnes uit te voeren door legitieme diensten te misbruiken.
“Aanvallers kunnen Xeon gebruiken om berichten te versturen via meerdere SaaS-providers (Software-as-a-Service) met behulp van geldige inloggegevens van de serviceproviders”, aldus Alex Delamotte, beveiligingsonderzoeker bij SentinelOne, in een rapport dat is gedeeld met The Hacker News.
Voorbeelden van diensten die worden gebruikt om de massale verspreiding van sms-berichten te vergemakkelijken, zijn Amazon Simple Notification Service (SNS), Nexmo, Plivo, Proovl, Send99, Telesign, Telnyx, TextBelt en Twilio.
Het is belangrijk om hier op te merken dat de activiteit geen inherente zwakheden van deze providers uitbuit. In plaats daarvan gebruikt de tool legitieme API’s om bulk-sms-spamaanvallen uit te voeren.
Het sluit zich aan bij tools zoals SNS Sender, die steeds vaker worden gebruikt om massaal smishingberichten te versturen en uiteindelijk gevoelige informatie van doelwitten te bemachtigen.
Gedistribueerd via Telegram en hackingforums, waarbij een van de oudere versies een Telegram-kanaal toeschrijft dat gewijd is aan het adverteren van gekraakte hacktools. De meest recente versie, beschikbaar om te downloaden als een ZIP-bestand, schrijft zichzelf toe aan een Telegram-kanaal genaamd Orion Toolxhub (oriontoolxhub) dat 200 leden heeft.
Orion Toolxhub werd opgericht op 1 februari 2023. Het heeft ook andere software gratis beschikbaar gesteld voor brute-force-aanvallen, omgekeerde IP-adresopzoekingen en andere zaken, zoals een WordPress-sitescanner, een PHP-webshell, een Bitcoin-clipper en een programma genaamd YonixSMS dat beweert onbeperkte sms-verzendmogelijkheden te bieden.
Xeon Sender wordt ook wel XeonV5 en SVG Sender genoemd. Vroege versies van het op Python gebaseerde programma zijn al in 2022 gedetecteerd. Sindsdien is het door verschillende dreigingsactoren opnieuw gebruikt voor hun eigen doeleinden.
“Een andere incarnatie van de tool wordt gehost op een webserver met een GUI,” zei Delamotte. “Deze hostingmethode verwijdert een potentiële barrière voor toegang, waardoor minder bekwame actoren die misschien niet vertrouwd zijn met het uitvoeren van Python-tools en het oplossen van hun afhankelijkheden, in staat worden gesteld.”
Xeon Sender biedt gebruikers, ongeacht de gebruikte variant, een opdrachtregelinterface waarmee ze kunnen communiceren met de backend-API’s van de gekozen serviceprovider en waarmee ze massaal spam-sms-aanvallen kunnen uitvoeren.
Dit betekent ook dat de dreigingsactoren al in het bezit zijn van de benodigde API-sleutels die nodig zijn om toegang te krijgen tot de eindpunten. De gefabriceerde API-verzoeken bevatten ook de afzender-ID, de inhoud van het bericht en een van de telefoonnummers die zijn geselecteerd uit een vooraf gedefinieerde lijst die aanwezig is in een tekstbestand.
Xeon Sender beschikt naast de SMS-verzendmethoden ook over functies om Nexmo- en Twilio-accountgegevens te valideren, telefoonnummers te genereren voor een bepaald landnummer en netnummer en te controleren of een opgegeven telefoonnummer geldig is.
Ondanks het gebrek aan finesse dat de tool biedt, staat de broncode volgens SentinelOne vol met dubbelzinnige variabelen, zoals enkele letters of een letter plus een cijfer, wat het debuggen een stuk lastiger maakt.
“Xeon Sender gebruikt grotendeels providerspecifieke Python-bibliotheken om API-verzoeken te maken, wat interessante detectie-uitdagingen met zich meebrengt,” aldus Delamotte. “Elke bibliotheek is uniek, net als de logs van de provider. Het kan lastig zijn voor teams om misbruik van een bepaalde service te detecteren.”
“Om zich te verdedigen tegen bedreigingen zoals Xeon Sender, moeten organisaties toezicht houden op activiteiten met betrekking tot het evalueren of wijzigen van machtigingen voor het verzenden van sms-berichten of op afwijkende wijzigingen in distributielijsten, zoals het uploaden van een groot aantal nieuwe telefoonnummers van ontvangers.”