Киберпреступная организация, действующая более десяти лет, перешла от скимминга кредитных карт к эксплуатации уязвимостей нулевого дня, согласно совместному расследованию компаний по кибербезопасности Solis Security и Intezer. Группировка, известная как XE Group, в настоящее время представляет повышенный риск для глобальных цепочек поставок, особенно в производственном секторе и секторе дистрибуции, используя более скрытные методы и долгосрочный доступ к системам.
Группа XE, первоначально обнаруженная в 2013 году за атаки на платформы электронной коммерции с использованием скиммеров для кредитных карт, постоянно совершенствовала свои методы. Ранние кампании эксплуатировали известные уязвимости в таких широко распространённых инструментах, как Telerik UI для ASP.NET , используя веб-шеллы — вредоносные скрипты, предоставляющие удалённый доступ к серверу — для кражи платёжных данных. К 2024 году группа переключилась на целенаправленное хищение информации, эксплуатируя две уязвимости нулевого дня в VeraCore — программном обеспечении для управления цепочками поставок, используемом компаниями, занимающимися фулфилментом, и розничными торговцами.
Уязвимости — ошибка проверки загрузки и SQL-инъекция — позволили XE Group проникнуть в системы, похитить файлы конфигурации и сохранить к ним доступ на протяжении многих лет. В частности, в 2024 году группа реактивировала веб-шелл, внедренный в результате взлома в 2020 году, продемонстрировав высокий уровень терпения и оперативной дисциплины.
CVE-коды для этой уязвимости пока не опубликованы, но представитель Intezer сообщил CyberScoop, что они будут опубликованы вскоре после окончательной проверки MITRE. Adavantive, материнская компания VeraCore, выпустила временное исправление для уязвимости проверки загрузки в ноябре. Intezer сообщил CyberScoop, что уязвимость SQL остаётся неисправленной.
На письма в Advantive ответа не поступило.
Исследователи обнаружили, что инфраструктура группы включает домены для управления и контроля, а также хостинга инструментов скимминга, которые она использовала на протяжении многих лет для автоматизации своей тактики:
«Недавние открытия подтверждают, что XE Group не только активна, но и развивается», — говорится в блоге. «Способность группы эксплуатировать неизвестные уязвимости и поддерживать длительный доступ к целевым системам отражает существенное изменение в её оперативной стратегии».
Предыдущие исследования XE Group указывают на её вероятное присутствие во Вьетнаме . Хотя точная атрибуция остаётся сложной, исторические маркеры, включая вьетнамские адреса электронной почты и псевдонимы, такие как «XeThanh», указывают на хорошо финансируемую операцию, при этом минимизируя усилия по сокрытию её личности. Отсутствие скрытности означает, что XE Group вряд ли связана с государством, поскольку подобные группировки обычно применяют более строгие меры безопасности.
Группа XE, первоначально обнаруженная в 2013 году за атаки на платформы электронной коммерции с использованием скиммеров для кредитных карт, постоянно совершенствовала свои методы. Ранние кампании эксплуатировали известные уязвимости в таких широко распространённых инструментах, как Telerik UI для ASP.NET , используя веб-шеллы — вредоносные скрипты, предоставляющие удалённый доступ к серверу — для кражи платёжных данных. К 2024 году группа переключилась на целенаправленное хищение информации, эксплуатируя две уязвимости нулевого дня в VeraCore — программном обеспечении для управления цепочками поставок, используемом компаниями, занимающимися фулфилментом, и розничными торговцами.
Уязвимости — ошибка проверки загрузки и SQL-инъекция — позволили XE Group проникнуть в системы, похитить файлы конфигурации и сохранить к ним доступ на протяжении многих лет. В частности, в 2024 году группа реактивировала веб-шелл, внедренный в результате взлома в 2020 году, продемонстрировав высокий уровень терпения и оперативной дисциплины.
CVE-коды для этой уязвимости пока не опубликованы, но представитель Intezer сообщил CyberScoop, что они будут опубликованы вскоре после окончательной проверки MITRE. Adavantive, материнская компания VeraCore, выпустила временное исправление для уязвимости проверки загрузки в ноябре. Intezer сообщил CyberScoop, что уязвимость SQL остаётся неисправленной.
На письма в Advantive ответа не поступило.
Исследователи обнаружили, что инфраструктура группы включает домены для управления и контроля, а также хостинга инструментов скимминга, которые она использовала на протяжении многих лет для автоматизации своей тактики:
- В 2020 году группа извлекла учетные данные базы данных с помощью запутанных запросов Transact-SQL, а затем использовала их для загрузки вредоносных файлов.
- Группа использовала модифицированные версии веб-шеллов с открытым исходным кодом, таких как ASPXSpy , с функциями для работы с файлами, сканирования сети и разведки баз данных SQL. К 2024 году эти инструменты включали автоматическую эксфильтрацию данных и доставку полезной нагрузки на основе PowerShell.
- В недавних кампаниях использовались собственные утилиты Microsoft Windows, такие как arp и netstat, для составления карты сети, в то время как скрипты PowerShell загружали вредоносное ПО Meterpreter — инструмент, связанный с продвинутыми постоянными угрозами — для установления скрытых каналов связи.
«Недавние открытия подтверждают, что XE Group не только активна, но и развивается», — говорится в блоге. «Способность группы эксплуатировать неизвестные уязвимости и поддерживать длительный доступ к целевым системам отражает существенное изменение в её оперативной стратегии».
Предыдущие исследования XE Group указывают на её вероятное присутствие во Вьетнаме . Хотя точная атрибуция остаётся сложной, исторические маркеры, включая вьетнамские адреса электронной почты и псевдонимы, такие как «XeThanh», указывают на хорошо финансируемую операцию, при этом минимизируя усилия по сокрытию её личности. Отсутствие скрытности означает, что XE Group вряд ли связана с государством, поскольку подобные группировки обычно применяют более строгие меры безопасности.
