惡意行為者正在使用一種名為 Xeon Sender 的云攻擊工具，通過濫用合法服務大規模開展短信釣魚和垃圾郵件活動。

SentinelOne安全研究員亞Alex Delamotte在與《黑客新聞》分享的一份報告中提到：攻擊者可以利用Xeon通過多個軟件即服務（SaaS）提供商，使用服務提供商的有效憑證發送信息。

據悉，用于大規模分發短信的服務包括亞馬遜通知服務（SNS）、Nexmo、Plivo、Proovl、Send99、Telesign、Telnyx、TextBelt 和 Twilio。

值得注意的是，該活動并沒有利用這些提供商的任何固有弱點，而是使用合法的 API 進行垃圾短信群發攻擊。還引用了 SNS Sender 等工具，這些工具越來越多地成為批量發送釣魚信息并最終獲取目標敏感信息的途徑。

其主要是通過 Telegram 和黑客論壇傳播，其中一個舊版本歸功于一個專門宣傳破解黑客工具的 Telegram 頻道。最新版本以 ZIP 文件形式提供下載，歸功于一個名為 Orion Toolxhub的 Telegram 頻道，該頻道有 200 名成員。

Orion Toolxhub 創建于 2023 年 2 月 1 日，免費為成員提供可用于暴力破解攻擊、IP 地址反向查詢的軟件，如 WordPress 網站掃描器、PHP web shell、比特幣剪切器，以及一個名為 YonixSMS 的程序，該程序聲稱可提供無限短信發送功能。

Xeon Sender 也被稱為 XeonV5 和 SVG Sender。這個基于 Python 的程序的早期版本最早在 2022 年被檢測到。

Delamotte 表示：該工具的另一個化身是托管在帶有圖形用戶界面的網絡服務器上。這種托管方式消除了潛在的訪問障礙，使那些可能不擅長運行 Python 工具并對其依賴關系進行故障排除的技術水平較低的攻擊者也能使用。

無論使用哪種變體，Xeon Sender 都為用戶提供了一個命令行界面，可用于與所選服務提供商的后臺 API 通信，并協調垃圾短信群發攻擊。

這也意味著威脅分子已經掌握了訪問端點所需的 API 密鑰。精心制作的 API 請求還包括發件人 ID、信息內容以及從文本文件中的預定義列表中選擇的電話號碼之一。

除了短信發送方法外，Xeon Sender還具有驗證Nexmo和Twilio賬戶憑證、為給定的國家代碼和地區代碼生成電話號碼以及檢查所提供的電話號碼是否有效等功能。

SentinelOne 表示，盡管該工具缺乏精細度，但源代碼中充滿了單個字母或字母加數字等模棱兩可的變量，使調試工作更具挑戰性。

Xeon Sender 主要使用供應商特定的 Python 庫來制作 API 請求，這給檢測帶來了更大的挑戰。因為每個庫都是獨一無二的，提供商的日志也是如此，團隊可能很難檢測到對特定服務的濫用行為。

因此，為了抵御 Xeon Sender 這樣的威脅，企業應該監控與評估或修改短信發送權限相關的活動，或對分發列表的異常更改，如大量上傳新的收件人電話號碼。