Специалисты Solis Security и ” data-html=”true” data-original-title=”Intezer” >Intezer выявилиновую тактику киберпреступной группы XE Group, которая с 2024 года сосредоточилась на целенаправленной краже информации. Ранее XE Group была известна массовыми атаками на веб-приложения с целью внедрения скиммеров и кражи паролей, но теперь злоумышленники перешли на эксплуатацию уязвимостей нулевого дня (Zero-Day) в цепочках поставок, компрометацию систем управления заказами (OMS) и внедрение вредоносных веб-оболочек.
В ходе расследования специалисты обнаружили две критические уязвимости в программном обеспечении VeraCore, широко используемом компаниями в сфере логистики, складского хранения и обработки заказов. Ошибки позволили XE Group загружать вредоносные файлы на сервер без проверки, извлекать данные из базы и получать доступ к учётным записям.
С помощью недостатков в VeraCore киберпреступники загружали веб-оболочки, обеспечивающие удалённое управление серверами жертв. Анализ показал, что группа XE Group оставалась незамеченной в течение нескольких лет, поддерживая долгосрочный доступ ко взломанным системам.
Отличительная черта XE Group – высокая степень скрытности. В одном из расследованных случаев злоумышленники повторно активировали веб-оболочку, установленную ими ещё в 2020 году. Это говорит о том, что атака была продуманной и рассчитана на многолетнее присутствие в системе жертвы.
Используемые хакерами техники включают:
– Внедрение вредоносных скриптов через загрузку изображений, где файлы PNG на самом деле содержат зашифрованные исполняемые команды;
– Использование PowerShell для скрытия активности, загрузки вредоносного кода в память и обхода антивирусного ПО;
– Эксплуатацию плохо защищённых компонентов VeraCore, например загрузчиков файлов, которые не имели строгих проверок безопасности.
В ноябре 2024 года исследователи обнаружили, что злоумышленники разработали новый метод сбора конфигурационных файлов сервера, используя специально подготовленный bat-файл, который собирал все важные данные в один файл и отправлял их на удалённый сервер.
История атак XE Group
XE Group известна с 2013 года и первоначально специализировалась на внедрении вредоносных скриптов в сайты электронной коммерции. В 2020 году специалисты зафиксировали активность группы на серверах Microsoft IIS. В 2021 году стало известно, что XE Group связана с сетью серверов, управляемых из Вьетнама, и использует Passive DNS для сохранения анонимности.
В 2023 году группа перешла на более продвинутые методы, включая использование атак через уязвимости Progress Telerik (CVE-2019-18935), что позволило проникать в инфраструктуру крупных организаций. Последняя активность XE Group связана с атаками на системы, работающие на VeraCore. В частности, злоумышленники использовали следующую последовательность действий:
- SQL-инъекция (CVE-2025-25181) – через специально подготовленный SQL-запрос преступники извлекали списки пользователей и пароли.
- Эксплуатация уязвимости загрузки файлов (CVE-2024-57968) – злоумышленники загружали веб-оболочки ASPX, получая полный контроль над системой.
- Активное использование PowerShell – загруженный скрипт выполнял команды для удалённого управления сервером и скрытой передачи данных.
- Автоматизация атак – XE Group внедрила инструменты для сканирования сети, поиска конфиденциальных данных и создания временных файлов с украденной информацией.
XE Group продолжает развиваться и становиться более изощрённой. Способность годами удерживать доступ к системам и использовать новые эксплойты делает киберпреступников одной из самых опасных киберугроз для бизнеса и государственных организаций.
Специалисты рекомендуют:
– Немедленно обновить программное обеспечение VeraCore до последней версии и закрыть выявленные уязвимости.
– Провести аудит безопасности веб-приложений, чтобы исключить наличие загруженных веб-оболочек.
– Использовать системы мониторинга активности, чтобы выявлять аномальные действия, такие как скрытые SQL-запросы или нестандартные загрузки файлов.
– Ограничить доступ к серверным компонентам и внедрить строгие политики аутентификации.
Последние атаки XE Group подчёркивают важность комплексной защиты корпоративных систем. В условиях, когда киберпреступники всё активнее используют сложные атаки на цепочки поставок, компаниям необходимо повышать уровень своей кибербезопасности, чтобы минимизировать риски взломов и утечек данных.