Xeon Sender: новое оружие хакеров для мощных SMS-бомбардировок

В последние месяцы специалисты по кибербезопасности обнаружили активное использование нового инструмента для атак в облачных сервисах под названием Xeon Sender. Этот инструмент используется злоумышленниками для проведения фишинговых и спам-кампаний через SMS, эксплуатируя легитимные сервисы.

По данным исследователя компании SentinelOne Алекса Деламотта, Xeon Sender позволяет отправлять сообщения через различные сервисы, работающие по модели «программное обеспечение как услуга» (SaaS), с использованием действительных учётных данных. Среди таких сервисов отмечены Amazon SNS, Nexmo, Plivo, Twilio и другие.

Важным аспектом является то, что Xeon Sender не эксплуатирует уязвимости самих провайдеров. Вместо этого злоумышленники используют легальные API для массовой отправки спам-сообщений. Подобные инструменты в последнее время становятся всё более популярными среди киберпреступников для рассылки фишинговых сообщений с целью кражи конфиденциальной информации.

Распространяется Xeon Sender через Telegram и различные форумы, посвящённые взлому программного обеспечения. Последняя версия инструмента, доступная для скачивания в виде ZIP-архива, ссылается на Telegram-канал «Orion Toolxhub», созданный в феврале 2023 года. Этот канал активно распространяет и другие вредоносные программы, такие как инструменты для брутфорс-атак и сканирования веб-сайтов.

Xeon Sender, также известный как XeonV5 и SVG Sender, был впервые обнаружен в 2022 году. С тех пор его функционал постоянно расширялся использовался различными группировками злоумышленников. Примечательно, что одна из версий данного инструмента размещена на веб-сервере с графическим интерфейсом, что делает его доступным даже для пользователей с минимальными техническими навыками.

В базе инструмент предоставляет командную строку для взаимодействия с API выбранных сервисов, что позволяет организовывать массовые SMS-атаки. Это предполагает, что злоумышленники уже обладают необходимыми API-ключами для доступа к сервисам. В запросах указываются идентификатор отправителя, содержимое сообщения и телефонные номера, взятые из заранее подготовленного списка.

Кроме того, Xeon Sender включает функции для проверки учётных данных сервисов Nexmo и Twilio, генерации телефонных номеров по заданным кодам стран и регионов, а также проверки валидности указанных номеров. Несмотря на то, что код программы содержит множество неоднозначных переменных, затрудняющих отладку, исследователи отмечают, что использование специфических библиотек для создания запросов создаёт дополнительные трудности для их обнаружения.

Для защиты от подобных угроз специалисты рекомендуют организациям отслеживать активность, связанную с изменением настроек отправки SMS и аномальными изменениями в списках получателей, такими как массовая загрузка новых номеров.