On yıldan fazla bir süredir aktif olan siber suçlu olan XE Group, Veracore yazılımında, depo yönetimi ve sipariş yerine getirme için popüler bir çözüm olan Sıfır Gün güvenlik açıklarını (CVE-2025-25181, CVE-2024-57968) sessizce kullanıyor.
Intezer ve Solis güvenlik araştırmacılarına göre, hedefleri imalat ve dağıtım sektörlerindeki şirketlerdir.
Intezer araştırmacıları Nicole Fishbein, Joakim Kennedy ve Justin Lentz, “Bir örnekte, grubun 2020’de bir organizasyondan ödün verdiği ve dört yıldan fazla bir süredir bir uç noktaya kalıcı erişimi sürdürdüğü bulundu” dedi.
XE Grubu kimdir?
XE grubunun Vietnam kökenlerine sahip olduğuna inanılıyor. Dışa bakan web hizmetleri ve platformlarda bilinen güvenlik açıklarından yararlanmak ve kredi kartı sıyırıcılarını ve şifre çalan kötü amaçlı yazılımları dağıtmak için elde edilen erişimi kullanmakla bilinir.
Ayrıca, kullanıcıları kişisel bilgileri açığa çıkarmak ve karanlık web’de çalıntı veri satmak için sahte web siteleri oluşturdukları da biliniyorlar.
“Grup, yetkisiz sunucu erişimi sağlayan özelleştirilmiş ASPXSPY Web Shells’i kullanıyor ve ‘Xethanh | Xegroups’ gibi benzersiz Base64 kodlu dizelerle doğrulanmış iletişim. Gizli taktikler, yürütüldüğünde, xegroups gibi alanlarla iletişim kuran ters kabuklar oluşturan PNG dosyaları olarak yürütülebilir ürünleri gizlemeyi içerir.[.]com, ”diye belirtti araştırmacılar.
“2010 yılında, e -posta oluşturma ve çalıntı kredi kartı verilerini doğrulamak için otomatik komut dosyaları geliştirdiler. 2013 yılına gelindiğinde, küresel satış noktası sistemlerini hedefleyen ‘SNIPR’ kimlik bilgisi-doldurma araç seti oluşturmuşlardı. ”
Bu siber saldırıcılarla ilgili en ilginç şey, XE grup adını ve alan adları, değişken adları, kullanıcı temsilcileri ve çeşitli hesaplar (e -posta, github, sosyal medya) için belirli takma adları kullanmalarıdır, bu da görünüşe göre aşırı endişe duymadıkları anlamına gelir. kimliklerini gizlemek veya belirli saldırı faaliyetlerine bağlı olmak.
Veracore sıfır gün güvenlik açıklarının sömürülmesi (CVE-2025-25181 CVE-2024-57968)
Araştırmacılar, bir kurbanın IIS sunucusunun, Webshell’den kaynaklanan Secatasyon sonrası etkinliğin tespit edildiği Kasım 2024’ün başlarında Veracore’un yazılımını barındıran uzlaşmasını keşfettiler.
“Solis Security, araştırıldıktan sonra, sisteme erişim sağladıktan sonra kaldırılan birkaç benzersiz teknik tanımladı: Web Uygulama Yapılandırma Dosyalarının Eksfiltrasyonu, Uzaktan Sistemlere Erişme Denemeleri ve Uzaktan Erişim Truva Eşyası (Sıçan) Gizli Yasalaşma Denemeleri PowerShell, kabuk kodunu yansıtıcı bir şekilde belleğe yüklemek için komutlar veriyor, ”diye paylaştı Intezer araştırmacıları.
Daha sonraki bir soruşturma, sunucunun ilk uzlaşmasını Ocak 2020’ye tarihlendiren, Veracode uygulamasına karşı bir SQL enjeksiyon güvenlik açığından (CVE-2025-25181) yararlanarak geçerli kimlik bilgilerini aldıklarında ve daha sonra bir kimlik doğrulaması için kimlik bilgilerini kullandı. Web Shell’i yüklemek için uygulama içindeki doğrulama güvenlik açığını (CVE-2024-57968) yükleyin.
Saldırganlar, 2023 yılında, yapılandırma dosyalarını web uygulamasından almak ve uygulamanın dosya dizinlerine göz atmak için daha yeni bir webshell kullandıklarında “geri geldi”. Kasım 2024’te, daha yeni bir ASPXSPY Web Shell varyantı farklı bir dizine yükledikten sonra, Solis Security tarafından tanımlanan eylemleri gerçekleştirmeye çalıştılar. Webshell ayrıca ağ ve veritabanı keşif ve manipülasyonu gerçekleştirmelerine ve dosyaları ve kritik bilgileri dışarı atmalarına izin verdi.
“XE Group’un kredi kartı sıyırma operasyonlarından sıfır gün güvenlik açıklarından yararlanmaya kadar evrimi, uyarlanabilirliklerini ve büyüyen sofistike olmalarını vurguluyor. İlk konuşlandırmadan yıllar sonra bir webshell’in yeniden etkinleştirilmesinde görüldüğü gibi, sistemlere sürekli erişimi sürdürme yetenekleri, grubun uzun vadeli hedeflere olan bağlılığını vurgulamaktadır ”dedi.
Yükleme Doğrulama Güvenlik Açığı (CVE-2024-57968), Kasım 2024’te, savunmasız yükleme özelliğini geçici olarak devre dışı bırakan Veracore Maker Advantive tarafından tanımlanmıştır. Şu anda CVE-2025-25181 için bir yama hakkında herkese açık bir bilgi yoktur.