XE Group bergeser dari skimming kartu ke serangan rantai pasokan

Kelompok kejahatan dunia maya yang lama terkait dengan pencurian kartu kredit telah diperluas menjadi informasi yang ditargetkan mencuri dari organisasi rantai pasokan di sektor manufaktur dan distribusi.

Dalam beberapa serangan baru ini, aktor ancaman, yang dilacak beberapa vendor sebagai kelompok XE dan tautan ke Vietnam, telah mengeksploitasi dua kerentanan nol-hari di platform manajemen gudang Veracore untuk memasang kerang web untuk melaksanakan berbagai tindakan jahat.

Eksploitasi Zero-Day di Veracore

Di dalam laporan bersama Minggu ini, para peneliti dari Intezer dan Solis menggambarkan kegiatan yang mereka amati baru -baru ini sebagai tanda ancaman yang meningkat yang disajikan kelompok kepada organisasi.

“Evolusi XE Group dari operasi skimming kartu kredit hingga mengeksploitasi kerentanan zero-day menggarisbawahi kemampuan beradaptasi mereka dan meningkatnya kecanggihan,” tulis para peneliti. “Dengan menargetkan rantai pasokan di sektor manufaktur dan distribusi, XE Group tidak hanya memaksimalkan dampak operasi mereka tetapi juga menunjukkan pemahaman akut tentang kerentanan sistemik.”

XE Group kemungkinan adalah aktor ancaman Vietnam yang dilacak oleh banyak vendor, termasuk Malwarebytes, Volexity, dan Keamanan Menlo selama bertahun -tahun. Grup pertama kali muncul pada 2013, dan setidaknya akhir 2024 dikenal terutama karena memanfaatkan kerentanan web untuk menggunakan malware untuk skimming nomor kartu kredit dan data terkait dari situs e-commerce.

Pada bulan Juni 2023, Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) Group XE yang diidentifikasi Sebagai salah satu dari beberapa aktor ancaman yang mengeksploitasi kerentanan dalam proses perangkat lunak Telerik yang berjalan di server IIS pemerintah dan melaksanakan perintah jarak jauh atas mereka. Salah satu kerentanan yang diidentifikasi CISA dalam laporannya (CVE-2017-9248) adalah hal yang sama dengan yang pertama kali mengamati kelompok Xe Group yang mengeksploitasi kembali pada tahun 2020 dalam penargetan serangan skimmer kartu Situs ASP.NET. Kampanye itu, seperti yang dicatat oleh Intezzer dan Solis dalam laporan mereka, terkenal karena fokusnya pada situs ASP.NET, yang jarang ditargetkan pada saat itu. Pada tahun 2023, Keamanan Menlo Dilaporkan melihat XE Group menggunakan beberapa strategi, termasuk serangan rantai pasokan untuk menggunakan skimmer kartu di situs web, dan juga menyiapkan situs palsu untuk mencuri informasi pribadi dan menjualnya di forum bawah tanah.

Apa yang diamati oleh Solis dan Intezer sekarang adalah perluasan yang berkelanjutan dari kegiatan aktor ancaman, teknik eksploitasi, dan malware sejak saat itu. Taktik serangan yang lebih baru grup ini termasuk menyuntikkan javascript berbahaya ke halaman web, mengeksploitasi kerentanan dalam produk yang dikerahkan secara luas, dan menggunakan cangkang web ASPX khusus untuk mempertahankan akses ke sistem yang dikompromikan.

Tujuan CyberTack Jangka Panjang Grup Xe

Dalam beberapa serangan baru-baru ini, aktor ancaman telah menggunakan dua hari nol Veracore (CVE-2024-57968, kerentanan validasi unggahan dengan skor keparahan CVSS 9,9; dan CVE-2025-25181, cacat injeksi SQL dengan a 5.8 Skor keparahan) Untuk menggunakan beberapa kerang web pada sistem yang dikompromikan.

“Dalam setidaknya satu contoh, para peneliti Solis dan Intezer menemukan aktor ancaman telah mengeksploitasi salah satu kerentanan Veracore sejauh Januari 2020 dan telah mempertahankan akses terus -menerus ke lingkungan korban yang dikompromikan sejak saat itu,” menurut laporan bersama. “Pada tahun 2024, grup mengaktifkan kembali sebuah webshell yang awalnya digunakan [in January 2020]menyoroti kemampuan mereka untuk tetap tidak terdeteksi dan melibatkan kembali target. Kemampuan mereka untuk mempertahankan akses yang terus-menerus ke sistem … bertahun-tahun setelah penyebaran awal, menyoroti komitmen kelompok terhadap tujuan jangka panjang. “

Pergeseran taktik dan penargetan grup XE baru -baru ini konsisten dengan fokus yang lebih luas di antara para aktor ancaman di rantai pasokan perangkat lunak. Meskipun SolarWinds mungkin tetap menjadi contoh paling terkenal, ada beberapa serangan signifikan lainnya pada produk dan layanan perangkat lunak yang banyak digunakan. Contohnya termasuk serangan terhadap perangkat lunak kemajuan Bergerak Alat transfer file, a Breach di Okta yang mempengaruhi semua pelanggannya, dan pelanggaran di Accellion Itu memungkinkan penyerang untuk menggunakan ransomware pada beberapa pelanggan perusahaan.