СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
05.02.2025
#ИБ#Инфра

XE Group: эволюция угроз кибербезопасности в 2024 году

XE Group: эволюция угроз кибербезопасности в 2024 году

Источник: intezer.com

XE Group, изощренная киберпреступная организация, действующая по меньшей мере с 2013 года, значительно изменила направление своей деятельности. Исследования показывают, что группа переключилась с первоначального скимминга кредитных карт на целенаправленную кражу информации с использованием современных уязвимостей.

Актуальные уязвимости

Недавние исследования, проведенные Solis Security, выявили, что XE Group активно использует уязвимости нулевого дня, такие как:

  • CVE-2024-57968 — уязвимость для проверки загрузки с оценкой CVSS 9,9;
  • CVE-2025-25181 — уязвимость для внедрения SQL с оценкой CVSS 5,8.

Эти уязвимости связаны с программным обеспечением VeraCore, которое часто используется в логистическом менеджменте. Их использование позволило XE Group разворачивать веб-оболочки ASPX и обеспечивать постоянный доступ к скомпрометированным системам.

Высокий уровень адаптивности

Исторически XE Group продемонстрировала высокий уровень адаптивности, переключаясь от известных уязвимостей к более сложным и ранее недокументированным. Их навыки позволяют сохранять доступ к целевой организации на протяжении более четырех лет, а также повторно использовать внедренное вредоносное ПО.

Текущие методы и тактики

Веб-оболочки и аналогичные технологии, используемые XE Group, предлагают широкий спектр функций:

  • Исследование файловой системы;
  • Фильтрация конфиденциальных файлов конфигурации;
  • Выполнение команд через запутанные сценарии PowerShell.

Обратите внимание на недавний инцидент, когда XE Group смогла успешно запустить постэксплуатационную активность на скомпрометированном сервере IIS, применив эксфильтрацию через альтернативные протоколы и запустив троян удаленного доступа (RAT) с помощью отражающей загрузки кода.

Стратегическая направленность

Деятельность XE Group также расширилась на использование цепочек поставок в производственном и дистрибьюторском секторах. Это свидетельствует о стратегическом подходе к достижению целей, которые могут приносить высокие доходы. Веб-приложения группы, в частности их индивидуальные версии ASPXSpy, обеспечивают долговременный несанкционированный доступ.

Заключение

Анализ последних действий XE Group подчеркивает сохраняющуюся угрозу кибербезопасности. Их способность эксплуатировать как известные, так и новые уязвимости свидетельствует об их изощренности. Понимание операционных методов этой группы поможет организациям بهتر подготовиться к защиты от таких угрожающих действий, что подчеркивает необходимость упреждающего анализа угроз и надежных мер безопасности.

Появление уязвимостей, таких как CVE-2024-57968 и CVE-2025-25181, подчеркивает настоятельную необходимость постоянного мониторинга и протоколов быстрого реагирования для минимизации потенциального воздействия меняющихся стратегий XE Group.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: