Un grupo de delitos cibernéticos se ha asociado durante mucho tiempo con el robo de tarjetas de crédito se ha extendido a un vuelo de información dirigido a las organizaciones de la cadena de suministro en los sectores de fabricación y distribución.
En algunos de estos nuevos ataques, el actor de amenaza, que varios proveedores siguen al grupo XE y el enlace con Vietnam, han explotado dos vulnerabilidades de cero días en la plataforma de gestión de almacenes de Veracore para instalar proyectiles web para ejecutar una variedad de acciones maliciosas.
Expertos de día cero en Veracore
En Un informe conjunto Esta semana, los investigadores de Intezer y Solis describieron la actividad que observaron recientemente como un signo de la mayor amenaza que el grupo presenta a las organizaciones.
“La evolución del grupo X de operaciones de hábilio de tarjetas de crédito para explotar las vulnerabilidades del día cero enfatiza su adaptabilidad y su creciente sofisticación”, escribieron los investigadores. “Al dirigirse a las cadenas de suministro en los sectores de fabricación y distribución, el grupo X maximiza no solo el impacto de sus operaciones, sino que también demuestra una comprensión aguda de las vulnerabilidades sistémicas”.
El Grupo XE es un actor de amenaza vietnamita probable que varios proveedores, incluidos malware, Hole y Security of Menlo, hayan seguido durante años. El grupo ha surgido por primera vez en 2013 y, al menos a fines de 2024, se sabía principalmente para aprovechar las vulnerabilidades web para implementar malware para los números de tarjetas de crédito y los datos asociados de los sitios comerciales electrónicos.
En junio de 2023, la Agencia Americana de Ciberseguridad e Infraestructura (CISA) Grupo XE identificado Como una de las muchas amenazas vulnerabilidades operativas durante el software Telerik que opera en servidores gubernamentales y ejecutando órdenes remotas. Una de las vulnerabilidades que CISA identificó en su informe (CVE-2017-9248) fue lo mismo que MalwareBytes observó el grupo XE por primera vez operando en 2020 en ataques de choque de la tarjeta objetivo Sitios ASP.NET. Esta campaña, como lo señalaron Intezer y Solis en su informe, fue notable por centrarse en los sitios ASP.NET, que rara vez se dirigían en ese momento. En 2023, Seguridad de Menlo Se informó haber visto al grupo XE implementar varias estrategias, incluidos los ataques de la cadena de suministro para implementar escoras de tarjetas en sitios web, y también la implementación de sitios falsos para robar información personal y venderlas en foros subterráneos.
Lo que Solis e Intez han observado ahora es una expansión continua de las actividades del actor de amenaza, técnicas operativas y malware desde entonces. Las nuevas tácticas de ataque del grupo incluyen la inyección de JavaScript malicioso en las páginas web, la explotación de vulnerabilidades en productos implementados en gran medida y el uso de capas web ASPX personalizadas para mantener el acceso al sistema de compromiso.
Ataques cibernéticos a largo plazo del grupo XE Group
En varios de los ataques recientes, el actor de amenaza ha utilizado los dos días cero de Veracode (CVE-2024-57968, una vulnerabilidad de validación de carga con un puntaje de gravedad de CVSS de 9.9; y CVE-2025-25181, una falla de inyección SQL con un 5.8 Puntuación de gravedad) para implementar varios proyectiles web en sistemas de compromiso.
“En al menos un caso, los investigadores de Solís e Intezer descubrieron que el actor de amenaza había explotado una de las vulnerabilidades de Veracode en enero de 2020 y había mantenido el acceso persistente al entorno comprometido de la víctima desde entonces”, según el informe conjunto . “En 2024, el grupo reactivó un shell en línea inicialmente implementado [in January 2020]Destacando su capacidad de permanecer injustificada y volver a participar los objetivos. Su capacidad para mantener el acceso persistente a los sistemas … años después de la implementación inicial resalta el compromiso del grupo con los objetivos a largo plazo. “
El cambio reciente en las tácticas y la orientación del grupo XE es consistente con un objetivo más amplio entre los actores de la amenaza en el cadena de suministro de software. Aunque los videos solares pueden seguir siendo el ejemplo más conocido, ha habido varios otros ataques significativos contra productos y servicios de software ampliamente utilizados. Los ejemplos incluyen ataques contra el software de progresión Mover Herramienta de transferencia de archivos, un Rama a Okta quien afectó a todos sus clientes y una violación a Aceleración Esto permitió a los atacantes implementar ransomware en algunos de los clientes de la compañía.