2013 yılından bu yana aktif olan sofistike bir Vietnam-Origin siber suç organizasyonu olan XE Group, Veracore Software, CVE-2024-57968 ve CVE-2025-25181’deki iki sıfır günlük güvenlik açıklarından yararlanarak operasyonlarını artırdı.
Intezer ve Solis Security tarafından ortak bir soruşturmada tanımlanan bu güvenlik açıkları, kötü amaçlı yazılım dağıtmak, hassas bilgileri çalmak ve tehlikeye atılan sistemlere uzun vadeli erişimi sürdürmek için kullanılmıştır.
Veracore, depo ve sipariş yönetimi için yerine getirme şirketleri ve e-reaksiyonlar tarafından yaygın olarak kullanılmaktadır ve bu da onu tedarik zinciri saldırıları için kazançlı bir hedef haline getirir.
Grubun son faaliyetleri, daha önceki kredi kartı sıyışına odaklanmalarından sıfır gün istismarlarını içeren daha gelişmiş tekniklere kayda değer bir kaymayı yansıtıyor.
Bu evrim, XE Group’un operasyonlarının artan karmaşıklığını ve siber suç manzarasında ortaya çıkan fırsatlara uyum sağlama yeteneklerinin altını çiziyor.
Doğrulama ve SQL enjeksiyon kusurlarını yükle
Veracore’daki sömürülen iki güvenlik açığı kritik güvenlik boşluklarını vurgular:
- CVE-2024-57968 (Doğrulama Güvenlik Açığı Yükle): Bu kusur, saldırganların dosya yükleme filtrelerini atlamasına ve hedeflenen sunuculara kötü niyetli web kabuklarını dağıtmasına izin verdi. Webshells, veri açığa çıkması ve kötü amaçlı yazılım dağıtımına izinsiz erişim sağladı.
- CVE-2025-25181 (SQL enjeksiyon güvenlik açığı): Bu zayıflık, keyfi SQL komutlarının yürütülmesini, ağlardaki kimlik bilgisi hırsızlığını ve yanal hareketi kolaylaştırmayı sağladı.
Bu güvenlik açıkları ilk olarak XE Group’un SQL enjeksiyonu ve yüklenen web kabukları yoluyla bir Veracore sistemine erişim kazandığı 2020 gibi erken bir sürede yararlandı.
Dikkat çekici bir şekilde, bu web kabuklarını 2024’te yeniden etkinleştirdiler ve kalıcılıklarını ve stratejik sabırlarını gösterdiler.
Kredi kartı sıyırma işleminden gelişmiş siber suçlara
Başlangıçta tedarik zinciri saldırıları yoluyla kredi kartı sıyrılmasıyla tanınan XE Group, daha tehlikeli bir tehdit aktörüne dönüştü.
Daha önceki kampanyaları, ödeme platformlarına kötü niyetli JavaScript enjekte edilmesini ve şifre çalma kötü amaçlı yazılımlarını dağıtmayı içeriyordu.
Bununla birlikte, 2024’ten bu yana, grup bilgi hırsızlığı ve tedarik zinciri kesintileri için kurumsal yazılım güvenlik açıklarından yararlanmaya odaklanmıştır.
Grubun benzersiz Base64 kodlu dizelerle doğrulanmış özelleştirilmiş ASPXSPY webshells kullanımı, tehlikeye atılan sistemlere uzun vadeli erişimi sürdürmede çok önemlidir.
Intezer’e göre, bu webshells dosya sistemi keşif, veritabanı manipülasyonu ve ağ keşiflerini etkinleştirir.
Buna ek olarak, XE Group, uzaktan erişim truva atlarını (sıçanlar) yüklemek için gizlenmiş PowerShell komut dosyalarını kullanır ve gizliliklerini ve operasyonel erişimlerini daha da artırır.
XE Grubu tarafından sıfır gün güvenlik açıklarının sömürülmesi, proaktif siber güvenlik önlemlerine yönelik kritik ihtiyacı vurgulamaktadır.
Veracore veya benzeri yazılım kullanan kuruluşlar derhal olmalıdır:
- Mevcut yamaları uygulayın veya satıcılar tarafından önerilen savunmasız özellikleri devre dışı bırakın.
- Uzlaşma göstergeleri için sistem günlükleri ve ağ trafiğinin kapsamlı denetimlerini yapın.
- Erişim kontrollerini güçlendirmek için çok faktörlü kimlik doğrulama (MFA) uygulayın.
- Bilinen XE grubu taktikleri ve göstergeleri için tehdit istihbarat beslemelerini izleyin.
XE Group’un yıllarını kapsayan faaliyetlerinin kalıcılığı, sağlam olay müdahale protokollerinin önemini vurgulamaktadır.
Saldırılmamış güvenlik açıklarından yararlanma ve uzun vadeli erişimi sürdürme yetenekleri, özellikle üretim ve dağıtım sektörlerinde küresel tedarik zincirleri için ciddi bir risk oluşturmaktadır.
XE Group’un kredi kartı sıyrılmasından sıfır gün güvenlik açıklarından yararlanmaya geçişi, siber suç yeteneklerinde önemli bir yükselişe işaret ediyor.
Veracore gibi kurumsal yazılımları hedefleyerek, dünya çapında siber güvenlik savunmalarına zorlu bir meydan okuma oluşturarak uyarlanabilirlik ve operasyonel disiplin gösterdiler.
Dava, yazılım güvenlik açıklarını derhal ele almanın ve ortaya çıkan tehditleri azaltmak için gelişmiş algılama sistemlerine yatırım yapmanın önemini açık bir hatırlatma görevi görüyor.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free