Kredi kartı hırsızlığı ile uzun süredir ilişkili bir siber suç grubu, imalat ve dağıtım sektörlerindeki tedarik zinciri kuruluşlarından hedeflenen bilgileri çaldı.
Bu yeni saldırıların bazılarında, birkaç satıcının XE Grubu olarak izlediği ve Vietnam’a bağlantı veren tehdit oyuncusu, çeşitli kötü niyetli eylemler yürütmek için web mermileri yüklemek için Veracore’un depo yönetim platformunda iki sıfır günlük güvenlik açıklarından yararlandı.
Veracore’daki sıfır gün istismarları
İçinde Ortak Rapor Bu hafta, Intezer ve Solis’ten araştırmacılar, son zamanlarda gözlemledikleri faaliyeti grubun kuruluşlara sunduğu artan tehdidin bir işareti olarak tanımladılar.
Araştırmacılar, “XE Group’un kredi kartı sıyırma operasyonlarından sıfır gün güvenlik açıklarından yararlanmaya kadar evrimi, uyarlanabilirliklerini ve büyüyen sofistike olmalarını engelliyor.” “Üretim ve dağıtım sektörlerindeki tedarik zincirlerini hedefleyerek, XE Group sadece operasyonlarının etkisini en üst düzeye çıkarmakla kalmaz, aynı zamanda sistemik güvenlik açıklarının akut bir anlayışını gösterir.”
XE Group, Malwarebytes, Volexity ve Menlo Security dahil olmak üzere birçok satıcının yıllardır izlediği muhtemel bir Vietnam tehdit oyuncusudur. Grup ilk olarak 2013’te ortaya çıktı ve en azından 2024’ün sonlarında, kredi kartı numaralarını ve ilgili verileri e-ticaret sitelerinden gözden geçirmek için kötü amaçlı yazılımları dağıtmak için Web güvenlik açıklarından yararlanmakla biliniyordu.
Haziran 2023’te ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) Tespit edilen XE Grubu Hükümet IIS sunucularında çalışan ve üzerinde uzak komutlar yürüten Telerik yazılımları devam eden güvenlik açıklarından yararlanan birkaç tehdit aktöründen biri olarak. CISA’nın raporunda tanımladığı güvenlik açıklarından biri (CVE-2017-9248) Malwarebytes’in ilk kez 2020’de Card Skimmer saldırılarında hedefleyen Söküm Saldırılarında Geri Döndüğünü Gözlemlediği ile aynıydı. ASP.NET Siteleri. Intezer ve Solis’in raporlarında belirttiği gibi, bu kampanya, o zaman nadiren hedeflenen ASP.NET sitelerine odaklanmasıyla dikkat çekti. 2023’te, Menlo Güvenliği XE Group’un web sitelerinde kart skimmer’lerini dağıtmak için tedarik zinciri saldırıları da dahil olmak üzere birden fazla strateji dağıttığını ve ayrıca kişisel bilgileri çalmak ve yeraltı forumlarında satmak için sahte siteler ayarladığını bildirdi.
Solis ve Intezer’in şu anda gözlemlediği şey, tehdit oyuncunun faaliyetlerinin, sömürü tekniklerinin ve kötü amaçlı yazılımların sürekli genişlemesidir. Grubun yeni saldırı taktikleri, Web sayfalarına kötü niyetli JavaScript enjekte edilmesi, yaygın olarak dağıtılan ürünlerde güvenlik açıklarından yararlanmak ve tehlikeye atılan sisteme erişimi sürdürmek için özel ASPX Web kabuklarının kullanılmasını içerir.
XE Group’un uzun vadeli siber saldırı hedefleri
Son son saldırıların birçoğunda, tehdit oyuncusu iki Veracode sıfır gününü (CVE-2024-57968, 9.9 CVSS önem skoru ile yükleme doğrulama güvenlik açığı, CVE-2025-25181, bir SQL enjeksiyon kusuru ile bir SQL enjeksiyon kusuru 5.8 Önem skoru) Meyveden çıkarılmış sistemlere birden fazla web mermisi dağıtmak.
Ortak rapora göre, “En az bir örnekte, Solis ve Intenzer araştırmacıları, tehdit oyuncusunun Ocak 2020’ye kadar veracode güvenlik açıklarından birini kullandığını ve o zamandan beri mağdurun tehlikeye atılan ortamına kalıcı erişimi sürdürdüğünü keşfetti.” “2024’te grup, başlangıçta konuşlandırılan bir webshell’i yeniden etkinleştirdi [in January 2020]tespit edilmemiş kalma ve hedefleri yeniden canlandırma yeteneklerini vurgulamak. İlk konuşlandırmadan yıllar sonra sistemlere kalıcı erişimi sürdürme yetenekleri, grubun uzun vadeli hedeflere olan bağlılığını vurgulamaktadır. “
XE Group’un taktikler ve hedefleme konusundaki son kayması, tehdit aktörleri arasında daha geniş bir odaklanma ile tutarlıdır. yazılım tedarik zinciri. Solarwinds belki de en iyi bilinen örnek olmasına rağmen, yaygın olarak kullanılan yazılım ürünleri ve hizmetlerine yönelik birkaç önemli saldırı da olmuştur. Örnekler arasında ilerleme yazılımlarına yönelik saldırılar Hareket dosya aktarım aracı, bir Okta’da ihlal tüm müşterilerini etkileyen ve Hız Bu, saldırganların şirketin bazı müşterilerine fidye yazılımı dağıtmasına izin verdi.