أداة Xeon Sender تستغل واجهات برمجة التطبيقات السحابية لهجمات التصيد الاحتيالي واسعة النطاق عبر الرسائل النصية القصيرة
تستخدم الجهات الفاعلة الخبيثة أداة هجوم سحابية تسمى Xeon Sender لإجراء حملات التصيد الاحتيالي عبر الرسائل النصية القصيرة والبريد العشوائي على نطاق واسع من خلال إساءة استخدام الخدمات المشروعة.
“يمكن للمهاجمين استخدام Xeon لإرسال رسائل من خلال العديد من موفري البرامج كخدمة (SaaS) باستخدام بيانات اعتماد صالحة لمقدمي الخدمة،” الباحث الأمني في SentinelOne Alex Delamotte قال في تقرير تمت مشاركته مع The Hacker News.
من أمثلة الخدمات المستخدمة لتسهيل التوزيع الجماعي للرسائل النصية القصيرة Amazon Simple Notification Service (SNS)، وNexmo، وPlivo، وProovl، وSend99، وTelesign، وTelnyx، وTextBelt، وTwilio.
من المهم الإشارة هنا إلى أن النشاط لا يستغل أي نقاط ضعف متأصلة في هؤلاء المزودين. بدلاً من ذلك، تستخدم الأداة واجهات برمجة التطبيقات الشرعية لإجراء هجمات جماعية عبر الرسائل النصية القصيرة.
فهو ينضم إلى أدوات مثل SNS Sender التي أصبحت على نحو متزايد وسيلة لإرسال كميات كبيرة من الرسائل رسائل التصيد الاحتيالي وفي النهاية التقاط المعلومات الحساسة من الأهداف.
يتم توزيعه عبر Telegram ومنتديات القرصنة، مع أحد الإصدارات الأقدم التي تنسب الفضل إلى قناة Telegram المخصصة للإعلان عن أدوات الاختراق المكسورة. أحدث إصدار، متاح للتنزيل كملف ZIP، ينسب نفسه إلى قناة Telegram المسماة أوريون تولكسهب (oriontoolxhub) الذي يضم 200 عضو.
تم إنشاء Orion Toolxhub في 1 فبراير 2023. كما أنها أتاحت مجانًا برامج أخرى لهجمات القوة الغاشمة، وعمليات البحث العكسي عن عنوان IP، وغيرها مثل ماسح موقع WordPress، و PHP web shell، و Bitcoin clipper، وبرنامج يُطلق عليه اسم YonixSMS والذي يزعم أنه يوفر إمكانات غير محدودة لإرسال الرسائل النصية القصيرة.
يُشار إلى Xeon Sender أيضًا باسم XeonV5 وSVG Sender. تم اكتشاف الإصدارات المبكرة من البرنامج المستند إلى لغة بايثون في وقت مبكر من عام 2022. ومنذ ذلك الحين تم إعادة توظيفها من قبل العديد من الجهات الفاعلة في مجال التهديد لأغراضها الخاصة.
وقال ديلاموت: “يتم استضافة تجسيد آخر للأداة على خادم ويب مزود بواجهة مستخدم رسومية”. “تزيل طريقة الاستضافة هذه عائقًا محتملاً أمام الوصول، مما يمكّن الممثلين ذوي المهارات الأقل الذين قد لا يشعرون بالارتياح عند تشغيل أدوات بايثون واستكشاف أخطاء تبعياتهم وإصلاحها.”
يوفر Xeon Sender، بغض النظر عن المتغير المستخدم، لمستخدميه واجهة سطر أوامر يمكن استخدامها للتواصل مع واجهات برمجة التطبيقات الخلفية لمزود الخدمة المختار وتنظيم هجمات البريد العشوائي الجماعية عبر الرسائل النصية القصيرة.
وهذا يعني أيضًا أن الجهات الفاعلة في مجال التهديد تمتلك بالفعل مفاتيح واجهة برمجة التطبيقات الضرورية اللازمة للوصول إلى نقاط النهاية. تتضمن طلبات API المعدة أيضًا معرف المرسل ومحتويات الرسالة وأحد أرقام الهواتف المحددة من قائمة محددة مسبقًا موجودة في ملف نصي.
يشتمل Xeon Sender، إلى جانب طرق إرسال الرسائل النصية القصيرة، على ميزات للتحقق من صحة بيانات اعتماد حساب Nexmo وTwilio، وإنشاء أرقام هواتف لرمز بلد ورمز منطقة معينين، والتحقق مما إذا كان رقم الهاتف المقدم صالحًا.
على الرغم من الافتقار إلى الجودة المرتبطة بالأداة، قال SentinelOne إن الكود المصدري مليء بمتغيرات غامضة مثل الحروف المفردة أو حرف بالإضافة إلى رقم لجعل تصحيح الأخطاء أكثر صعوبة.
وقال ديلاموت: “يستخدم Xeon Sender إلى حد كبير مكتبات Python الخاصة بموفر الخدمة لصياغة طلبات واجهة برمجة التطبيقات، مما يمثل تحديات كشف مثيرة للاهتمام”. “كل مكتبة فريدة من نوعها، وكذلك سجلات الموفر. وقد يكون من الصعب على الفرق اكتشاف إساءة استخدام خدمة معينة.”
“للدفاع ضد التهديدات مثل Xeon Sender، يجب على المؤسسات مراقبة النشاط المتعلق بتقييم أو تعديل أذونات إرسال الرسائل القصيرة أو التغييرات الشاذة على قوائم التوزيع، مثل التحميل الكبير لأرقام هواتف المستلمين الجدد.”
إرسال التعليق