Jedna od sajber kriminalnih grupa, koja je dugo bila povezana sa krađom podataka sa kreditnih kartica, proširila je svoje aktivnosti i sada cilja organizacije u sektoru proizvodnje i distribucije, koristeći sofisticirane tehnike krađe informacija.
U nekim od ovih novijih napada, prijetnja koju istraživači prate kao XE Grupu, a koja je povezana sa Vijetnamom, iskoristila je dvije “zero-day” ranjivosti u platformi za upravljanje skladištima VeraCore kako bi instalirala web shell-ove i izvršavala različite maliciozne radnje.
“Zero-day” ranjivosti u VeraCore platformi
U zajedničkom izveštaju koji su nedavno objavili istraživači iz kompanija Intezer i Solis, opisane su aktivnosti koje su oni nedavno zabilježili, a koje ukazuju na rastuću prijetnju koju ova grupa predstavlja za organizacije.
„Evolucija XE grupe od operacija za krađu podataka sa kreditnih kartica do eksploatacije ‘zero-day’ ranjivosti ukazuje na njihovu sposobnost prilagođavanja i rastuću sofisticiranost,“ navode istraživači. „Ciljanjem lanca snabdijevanja u sektorima proizvodnje i distribucije, XE Grupa ne samo da maksimizuje uticaj svojih operacija, već i demonstrira duboko razumijevanje sistemskih ranjivosti.“
XE Grupa, koja se vjerovatno nalazi u Vijetnamu, prati se već godinama od strane više bezbjednosnih kompanija, uključujući Malwarebytes, Volexity i Menlo Security. Grupa je prvi put uočena 2013. godine i do kraja 2024. godine bila je uglavnom poznata po tome što je iskorištavala ranjivosti u web aplikacijama kako bi instalirala malver za krađu podataka sa kreditnih kartica sa e-commerce sajtova.
U junu 2023. godine, američka Agencija za sajber bezbjednost (CISA) identifikovala je XE Grupu kao jednog od sajberkriminalaca koji su eksploatisali ranjivosti u Progress Telerik softveru na vladinim IIS serverima, izvršavajući daljinske komande. Jedna od ranjivosti koju je CISA identifikovala (CVE-2017-9248) bila je ista ona koju je Malwarebytes prvi put primijetio još 2020. godine, kada je XE Grupa izvodila napade na ASP.Net sajtove.
Novi napadi i širenje taktika
Prema izvještajima Solisa i Intezera, XE Grupa je proširila svoje tehnike napada, uključujući injektovanje malicioznog JavaScript-a u web stranice, iskorištavanje ranjivosti u široko korišćenim proizvodima i korišćenje ASPX web shell-ova za održavanje pristupa kompromitovanim sistemima.
U nekoliko nedavnih napada, hakeri su koristili “zero-day” ranjivosti u VeraCore platformi (CVE-2024-57968, ranjivost u validaciji upload-a sa ozbiljnošću 9.9 i CVE-2025-25181, SQL injection flaw sa ozbiljnošću 5.8) kako bi postavili više web shell-ova na zaražene sisteme. U najmanje jednom slučaju, istraživači su otkrili da je XE Grupa iskoristila ranjivost u VeraCore još od januara 2020. godine, održavajući stalni pristup žrtvama tokom tih godina.
„U 2024. godini, grupa je ponovo aktivirala jedan od web shell-ova koji je bio postavljen još 2020. godine, što ukazuje na njihovu sposobnost da ostanu neprimjetni i ponovo angažuju ciljeve“, navodi se u izvještaju. „Njihova sposobnost da održavaju stalni pristup sistemima… godinama nakon početnog napada, ukazuje na dugoročne ciljeve koje imaju.“
Cilj sajberkriminalaca: Dugi periodi infiltracije i širenje napada
Nova taktika i ciljevi XE Grupe ukazuju na širu tendenciju među sajberkriminalcima koji se sve više fokusiraju na napade na softverske lance snabdijevanja. Iako je napad na SolarWinds vjerovatno najpoznatiji primjer, bilo je nekoliko drugih značajnih napada na široko korišćene softverske proizvode i usluge. To uključuje napade na alat za prenos fajlova MOVEit, povredu sigurnosti u Okta-i koja je pogodila sve njihove korisnike, i napad na Accellion koji je omogućio napadačima da postave ransomver na nekoj od kompanija korisnika.
Sa rastućim trendom ovakvih napada, organizacije moraju biti pažljive u identifikaciji i zaštiti od potencijalnih prijetnji koje mogu dovesti do ozbiljnih i posljedica.
Izvor: Dark Reading
