XE Group, киберпреступная организация, активно действующая с 2013 года, привлекла внимание научной общественности из-за своего использования веб-уязвимостей для установки скиммеров кредитных карт и кражи чувствительных данных. Они сместили акцент со скимминга на кражу информации, используя ранее недокументированные уязвимости в программном обеспечении VeraCore.
XE Group APT
Их новые тактики и методы, включая использование уязвимостей нулевого дня и веб-оболочек, позволили им длительное время оставаться незамеченными и манипулировать взломанными системами. Исследователи отмечают, что XE Group не только активна, но и эволюционирует, стремясь использовать более продвинутые и эффективные методы атак.
XE Group успешно совершает настойчивые атаки на цепочки поставок в различных отраслях. Они продолжают обнаруживать новые уязвимости и использовать их для поддержания долгосрочного доступа к своим целям. Исследователи также отмечают, что группа способна повторно использовать ранее использованные методы, что подчеркивает их стратегический подход.
В ходе исследования, проведенного компанией Solis Security, были обнаружены детали двух уязвимостей, используемых XE Group. Уязвимости, известные как CVE-2024-57968 и CVE-2025-25181, определены как недокументированные уязвимости в программном обеспечении VeraCore. С помощью этих уязвимостей XE Group развернула веб-оболочки для поддержания несанкционированного доступа к взломанным системам.
Исследователи отмечают, что XE Group продемонстрировала высокую адаптивность и настойчивость в своих операциях. Они активно адаптируются и эволюционируют, используя передовые методы и стратегии настойчивых атак, чтобы достичь своих целей. Этот анализ предоставляет ценную информацию и взгляды на тактики и операционные приоритеты XE Group, а также общие последствия для кибербезопасности.
Indicators of Compromise
IPv4
123.20.29.193
171.227.250.249
222.253.102.94
URLs
- https://hivnd.com/software/7z[.]exe
- https://REDACTED/aspnet_client/system_web/.thump.aspx?fdir=C%3a%5cinetpub%5cwwwroot%5c%5cVeraCore
- https://REDACTED/aspnet_client/system_web/.thump.aspx?fdir=C%3a%5cProgramData%5c
- https://REDACTED/sqlimages/IDCHAH/System.Runtime.Serialization.aspx
- https://REDACTED/VeraCore/Home/
- https://REDACTED/VeraCore/OMS/?auth=311165
- https://REDACTED/VeraCore/PMA/?auth=654
MD5
- 339a79457a8cf3504312d394be3ece98
- 457d7e3a708d1b5c6a8d449e52064985
- 7a9b5c3bb7dab0857ee2c2d71758eca3
- 7abb73b7844f2308d9c62954e6e8b7fc
- 7b5b7d96006fec70c2091e90fbf02b99
SHA1
- 032dd95a1299f37aaa76318945e030eb7da94da9
- 16db01fe25b0c09e18d13f38c88a4ead5d10e323
- 84e7f4ff1f93a4297c2e2c4e54f14edb18396b60
- 9e928a26aa3c0e6eb8e709fc55ea12dcf7e02ff9
- ede5ddb97b98d80440553b23dfc19fdb4adc7499
SHA256
- 013ccea1d7fc2aa2d660e900f87a3192f5cb73768710ef2eb9016f81df8e5c70
- 322f8cd560d5e10e93af3ea6d3505c8de213f549e6627c3ef4664ed92ba55f56
- 38b2d52dc471587fb65ef99c64cb3f69470ddfdaa184a256aecb26edeff3553a
- 680b7e8ec8204975c5026bcbaf70f7e9620eacdd7bf72e5476d17266b4a7d316
- c564acd69efa62a5037931090bf70a6506419fdf59ec52f8d1ab0b15d861cc67