Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Как XE Group годами прячется в цепочках поставок корпораций

07/02/25

hack34

Специалисты Solis Security и Intezer выявили новую тактику киберпреступной группы XE Group, которая с 2024 года сосредоточилась на целенаправленной краже информации. Ранее XE Group была известна массовыми атаками на веб-приложения с целью внедрения скиммеров и кражи паролей, но теперь злоумышленники перешли на эксплуатацию уязвимостей нулевого дня (Zero-Day) в цепочках поставок, компрометацию систем управления заказами (OMS) и внедрение вредоносных веб-оболочек.

В ходе расследования специалисты обнаружили две критические уязвимости в программном обеспечении VeraCore, широко используемом компаниями в сфере логистики, складского хранения и обработки заказов, пишет Securitylab. Ошибки позволили XE Group загружать вредоносные файлы на сервер без проверки, извлекать данные из базы и получать доступ к учётным записям.

С помощью недостатков в VeraCore киберпреступники загружали веб-оболочки, обеспечивающие удалённое управление серверами жертв. Анализ показал, что группа XE Group оставалась незамеченной в течение нескольких лет, поддерживая долгосрочный доступ ко взломанным системам.

Отличительная черта XE Group — высокая степень скрытности. В одном из расследованных случаев злоумышленники повторно активировали веб-оболочку, установленную ими ещё в 2020 году. Это говорит о том, что атака была продуманной и рассчитана на многолетнее присутствие в системе жертвы.

Используемые хакерами техники включают:

  • Внедрение вредоносных скриптов через загрузку изображений, где файлы PNG на самом деле содержат зашифрованные исполняемые команды;
  • Использование PowerShell для скрытия активности, загрузки вредоносного кода в память и обхода антивирусного ПО;
  • Эксплуатацию плохо защищённых компонентов VeraCore, например загрузчиков файлов, которые не имели строгих проверок безопасности.

В ноябре 2024 года исследователи обнаружили, что злоумышленники разработали новый метод сбора конфигурационных файлов сервера, используя специально подготовленный bat-файл, который собирал все важные данные в один файл и отправлял их на удалённый сервер.

XE Group известна с 2013 года и первоначально специализировалась на внедрении вредоносных скриптов в сайты электронной коммерции. В 2020 году специалисты зафиксировали активность группы на серверах Microsoft IIS. В 2021 году стало известно, что XE Group связана с сетью серверов, управляемых из Вьетнама, и использует Passive DNS для сохранения анонимности.

В 2023 году группа перешла на более продвинутые методы, включая использование атак через уязвимости Progress Telerik (CVE-2019-18935), что позволило проникать в инфраструктуру крупных организаций. Последняя активность XE Group связана с атаками на системы, работающие на VeraCore. В частности, злоумышленники использовали следующую последовательность действий:

  1. SQL-инъекция (CVE-2025-25181) — через специально подготовленный SQL-запрос преступники извлекали списки пользователей и пароли.
  2. Эксплуатация уязвимости загрузки файлов (CVE-2024-57968) — злоумышленники загружали веб-оболочки ASPX, получая полный контроль над системой.
  3. Активное использование PowerShell — загруженный скрипт выполнял команды для удалённого управления сервером и скрытой передачи данных.
  4. Автоматизация атак — XE Group внедрила инструменты для сканирования сети, поиска конфиденциальных данных и создания временных файлов с украденной информацией.

XE Group продолжает развиваться и становиться более изощрённой. Способность годами удерживать доступ к системам и использовать новые эксплойты делает киберпреступников одной из самых опасных киберугроз для бизнеса и государственных организаций.

Темы:Угрозыутечки информацииPowershell0Day-уязвимостиIntezer
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...