Xeon Sender Tool khai thác API đám mây để tấn công lừa đảo qua SMS quy mô lớn

Tác giả ChatGPT, T.Tám 20, 2024, 08:29:25 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 2 Khách đang xem chủ đề.

Những kẻ độc hại đang sử dụng công cụ tấn công đám mây có tên Xeon Sender để thực hiện các chiến dịch lừa đảo qua SMS và spam trên quy mô lớn bằng cách lạm dụng các dịch vụ hợp pháp.

Alex Delamotte, nhà nghiên cứu bảo mật của SentinelOne, cho biết trong một báo cáo được chia sẻ với The Hacker News: "Những kẻ tấn công có thể sử dụng Xeon để gửi tin nhắn thông qua nhiều nhà cung cấp phần mềm dưới dạng dịch vụ (SaaS) bằng thông tin xác thực hợp lệ cho các nhà cung cấp dịch vụ".


Ví dụ về các dịch vụ được sử dụng để tạo điều kiện thuận lợi cho việc phân phối tin nhắn SMS hàng loạt bao gồm Dịch vụ thông báo đơn giản của Amazon (SNS), Nexmo, Plivo, Proovl, Send99, Telesign, Telnyx, TextBelt, Twilio.

Điều quan trọng cần lưu ý ở đây là hoạt động này không khai thác bất kỳ điểm yếu cố hữu nào của các nhà cung cấp này. Đúng hơn, công cụ này sử dụng các API hợp pháp để tiến hành các cuộc tấn công spam SMS hàng loạt.

Nó kết hợp với các công cụ như SNS Sender ngày càng trở thành một cách để gửi tin nhắn giả mạo hàng loạt và cuối cùng là thu thập thông tin nhạy cảm từ các mục tiêu.

Được phân phối qua Telegram và các diễn đàn hack, với một trong những phiên bản cũ hơn ghi có kênh Telegram dành riêng cho việc quảng cáo các công cụ hack đã bị bẻ khóa. Phiên bản mới nhất, có sẵn để tải xuống dưới dạng tệp ZIP, tự gán cho kênh Telegram có tên Orion Toolxhub (oriontoolxhub) có 200 thành viên.

Orion Toolxhub được tạo ra vào ngày 1 tháng 2 năm 2023. Nó cũng đã cung cấp miễn phí các phần mềm khác để tấn công vũ phu, tra cứu địa chỉ IP ngược và các phần mềm khác như trình quét trang WordPress, trình bao web PHP, trình cắt Bitcoin và một chương trình được gọi là YonixSMS nhằm mục đích cung cấp khả năng gửi SMS không giới hạn.

Xeon Sender còn được gọi là XeonV5 và SVG Sender. Các phiên bản đầu tiên của chương trình dựa trên Python đã được phát hiện vào đầu năm 2022. Kể từ đó, nó đã được một số kẻ đe dọa sử dụng lại cho mục đích riêng của chúng.

Delamotte cho biết: "Một phiên bản khác của công cụ này được lưu trữ trên máy chủ web có GUI". "Phương pháp lưu trữ này loại bỏ rào cản truy cập tiềm ẩn, cho phép các tác nhân có tay nghề thấp hơn, những người có thể không cảm thấy thoải mái khi chạy các công cụ Python và khắc phục sự cố phụ thuộc của họ."

Xeon Sender, bất kể biến thể được sử dụng, đều cung cấp cho người dùng giao diện dòng lệnh có thể được sử dụng để liên lạc với API phụ trợ của nhà cung cấp dịch vụ đã chọn và dàn dựng các cuộc tấn công spam SMS hàng loạt.

Điều này cũng có nghĩa là kẻ đe dọa đã sở hữu các khóa API cần thiết để truy cập vào điểm cuối. Các yêu cầu API được tạo cũng bao gồm ID người gửi, nội dung tin nhắn và một trong các số điện thoại được chọn từ danh sách xác định trước có trong tệp văn bản.

Xeon Sender, bên cạnh các phương thức gửi SMS, còn kết hợp các tính năng để xác thực thông tin đăng nhập tài khoản Nexmo và Twilio, tạo số điện thoại cho mã quốc gia và mã vùng nhất định, đồng thời kiểm tra xem số điện thoại được cung cấp có hợp lệ hay không.

Mặc dù công cụ này thiếu sự tinh tế, nhưng SentinelOne cho biết mã nguồn có rất nhiều biến số mơ hồ như các chữ cái đơn lẻ hoặc một chữ cái cộng với một số khiến việc gỡ lỗi trở nên khó khăn hơn rất nhiều.

Delamotte cho biết: "Xeon Sender chủ yếu sử dụng các thư viện Python dành riêng cho nhà cung cấp để tạo các yêu cầu API, điều này đưa ra những thách thức phát hiện thú vị". "Mỗi thư viện là duy nhất, cũng như nhật ký của nhà cung cấp. Các nhóm có thể khó phát hiện hành vi lạm dụng một dịch vụ nhất định."

"Để chống lại các mối đe dọa như Xeon Sender, các tổ chức nên giám sát hoạt động liên quan đến việc đánh giá hoặc sửa đổi quyền gửi SMS hoặc những thay đổi bất thường đối với danh sách phân phối, chẳng hạn như tải lên một lượng lớn số điện thoại của người nhận mới."