Een cybercriminele groep die al lang bezig is met creditcarddiefstal, is nu ook actief in de gerichte diefstal van informatie van toeleveringsketenorganisaties in de productie- en distributiesector.
Bij een aantal van deze nieuwe aanvallen heeft de aanvaller, die door meerdere leveranciers wordt aangeduid als de XE Group en in verband wordt gebracht met Vietnam, misbruik gemaakt van twee zero-day-kwetsbaarheden in het warehouse management-platform van VeraCore om webshells te installeren waarmee allerlei schadelijke acties kunnen worden uitgevoerd.
Zero-Day-exploits in VeraCore
In een gezamenlijk rapport Deze week beschreven onderzoekers van Intezer en Solis de activiteit die zij onlangs observeerden als een teken van de toegenomen dreiging die de groep vormt voor organisaties.
"De evolutie van XE Group van creditcard skimming-operaties naar het uitbuiten van zero-day kwetsbaarheden onderstreept hun aanpassingsvermogen en groeiende verfijning", schreven de onderzoekers. "Door zich te richten op toeleveringsketens in de productie- en distributiesectoren, maximaliseert XE Group niet alleen de impact van hun activiteiten, maar toont het ook een scherp begrip van systemische kwetsbaarheden."
XE Group is een waarschijnlijke Vietnamese dreigingsactor die al jaren door meerdere leveranciers, waaronder Malwarebytes, Volexity en Menlo Security, wordt gevolgd. De groep dook voor het eerst op in 2013 en stond tot ten minste eind 2024 vooral bekend om het misbruiken van webkwetsbaarheden om malware te implementeren voor het skimmen van creditcardnummers en bijbehorende gegevens van e-commercesites.
In juni 2023 heeft het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) geïdentificeerde XE Groep als een van de verschillende bedreigingsactoren die kwetsbaarheden in Progress Telerik-software exploiteren die op overheids-IIS-servers draait en externe opdrachten op deze servers uitvoert. Een van de kwetsbaarheden die CISA in zijn rapport identificeerde (CVE-2017-9248) was dezelfde die Malwarebytes voor het eerst in 2020 zag misbruiken door XE Group in kaartskimmeraanvallen die gericht waren op ASP.Net-sites. Die campagne, zoals Intezer en Solis in hun rapport opmerkten, was opmerkelijk vanwege de focus op ASP.Net-sites, die destijds zelden werden aangevallen. In 2023, Menlo-beveiliging meldde dat XE Group meerdere strategieën had ingezet, waaronder aanvallen op de toeleveringsketen om kaartskimmers op websites te plaatsen en nepsites op te zetten om persoonlijke informatie te stelen en deze te verkopen op ondergrondse fora.
Wat Solis en Intezer nu hebben waargenomen is een voortdurende uitbreiding van de activiteiten, exploitatietechnieken en malware van de dreigingsactor sindsdien. De nieuwere aanvalstactieken van de groep omvatten het injecteren van kwaadaardige JavaScript in webpagina's, het exploiteren van kwetsbaarheden in veelgebruikte producten en het gebruiken van aangepaste ASPX-webshells om toegang tot het gecompromitteerde systeem te behouden.
De langetermijndoelstellingen van de XE Group op het gebied van cyberaanvallen
Bij verschillende recente aanvallen heeft de aanvaller gebruikgemaakt van de twee VeraCore zero-days (CVE-2024-57968, een kwetsbaarheid voor uploadvalidatie met een CVSS-ernstscore van 9.9; en CVE-2025-25181, een SQL-injectiefout met een ernstscore van 5.8) om meerdere webshells te implementeren op gecompromitteerde systemen.
"In ten minste één geval ontdekten onderzoekers van Solis en Intezer dat de dreigingsactor al in januari 2020 een van de VeraCore-kwetsbaarheden had misbruikt en sindsdien permanente toegang tot de gecompromitteerde omgeving van het slachtoffer had behouden", aldus het gezamenlijke rapport. "In 2024 reactiveerde de groep een webshell die oorspronkelijk was geïmplementeerd [in januari 2020], wat hun vermogen om onopgemerkt te blijven en doelen opnieuw aan te spreken, benadrukt. Hun vermogen om permanente toegang tot systemen te behouden ... jaren na de eerste implementatie, onderstreept de toewijding van de groep aan langetermijndoelstellingen."
De recente verschuiving van tactieken en targeting door de XE Group is in lijn met een bredere focus onder dreigingsactoren op de softwaretoeleveringsketen. Hoewel SolarWinds misschien wel het bekendste voorbeeld blijft, zijn er verschillende andere significante aanvallen geweest op veelgebruikte softwareproducten en -diensten. Voorbeelden hiervan zijn aanvallen op Progress Software's Verplaats het bestandsoverdrachtstool, een doorbraak bij Okta die al haar klanten trof, en een inbreuk op Accelion waardoor aanvallers ransomware konden installeren op een aantal klanten van het bedrijf.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/cyber-risk/xe-group-shifts-card-skimming-supply-chain-attacks
