Как XE Group годами прячется в цепочках поставок корпораций
07/02/25
Специалисты Solis Security и Intezer выявили новую тактику киберпреступной группы XE Group, которая с 2024 года сосредоточилась на целенаправленной краже информации. Ранее XE Group была известна массовыми атаками на веб-приложения с целью внедрения скиммеров и кражи паролей, но теперь злоумышленники перешли на эксплуатацию уязвимостей нулевого дня (Zero-Day) в цепочках поставок, компрометацию систем управления заказами (OMS) и внедрение вредоносных веб-оболочек.
В ходе расследования специалисты обнаружили две критические уязвимости в программном обеспечении VeraCore, широко используемом компаниями в сфере логистики, складского хранения и обработки заказов, пишет Securitylab. Ошибки позволили XE Group загружать вредоносные файлы на сервер без проверки, извлекать данные из базы и получать доступ к учётным записям.
С помощью недостатков в VeraCore киберпреступники загружали веб-оболочки, обеспечивающие удалённое управление серверами жертв. Анализ показал, что группа XE Group оставалась незамеченной в течение нескольких лет, поддерживая долгосрочный доступ ко взломанным системам.
Отличительная черта XE Group — высокая степень скрытности. В одном из расследованных случаев злоумышленники повторно активировали веб-оболочку, установленную ими ещё в 2020 году. Это говорит о том, что атака была продуманной и рассчитана на многолетнее присутствие в системе жертвы.
Используемые хакерами техники включают:
- Внедрение вредоносных скриптов через загрузку изображений, где файлы PNG на самом деле содержат зашифрованные исполняемые команды;
- Использование PowerShell для скрытия активности, загрузки вредоносного кода в память и обхода антивирусного ПО;
- Эксплуатацию плохо защищённых компонентов VeraCore, например загрузчиков файлов, которые не имели строгих проверок безопасности.
В ноябре 2024 года исследователи обнаружили, что злоумышленники разработали новый метод сбора конфигурационных файлов сервера, используя специально подготовленный bat-файл, который собирал все важные данные в один файл и отправлял их на удалённый сервер.
XE Group известна с 2013 года и первоначально специализировалась на внедрении вредоносных скриптов в сайты электронной коммерции. В 2020 году специалисты зафиксировали активность группы на серверах Microsoft IIS. В 2021 году стало известно, что XE Group связана с сетью серверов, управляемых из Вьетнама, и использует Passive DNS для сохранения анонимности.
В 2023 году группа перешла на более продвинутые методы, включая использование атак через уязвимости Progress Telerik (CVE-2019-18935), что позволило проникать в инфраструктуру крупных организаций. Последняя активность XE Group связана с атаками на системы, работающие на VeraCore. В частности, злоумышленники использовали следующую последовательность действий:
- SQL-инъекция (CVE-2025-25181) — через специально подготовленный SQL-запрос преступники извлекали списки пользователей и пароли.
- Эксплуатация уязвимости загрузки файлов (CVE-2024-57968) — злоумышленники загружали веб-оболочки ASPX, получая полный контроль над системой.
- Активное использование PowerShell — загруженный скрипт выполнял команды для удалённого управления сервером и скрытой передачи данных.
- Автоматизация атак — XE Group внедрила инструменты для сканирования сети, поиска конфиденциальных данных и создания временных файлов с украденной информацией.
XE Group продолжает развиваться и становиться более изощрённой. Способность годами удерживать доступ к системам и использовать новые эксплойты делает киберпреступников одной из самых опасных киберугроз для бизнеса и государственных организаций.