Prijetnje od strane hakera su primijećene u kontekstu iskorištavanja više sigurnosnih propusta u različitim softverskim proizvodima, uključujući Progress Telerik UI za ASP.NET AJAX i Advantive VeraCore, kako bi postavili reverse shell i web shell napade, te održavali stalni udaljeni pristup kompromitovanim sistemima.
Iskorištavanje zero-day sigurnosnog propusta u VeraCore je povezano sa hakerskom grupom poznatom kao XE Group, koja se najvjerovatnije nalazi u Vijetnamu i aktivna je barem od 2010. godine.
“XE Group je prešla s krađe podataka s kreditnih kartica na ciljanje ukradenih informacija, što označava značajan napredak u njihovim operativnim prioritetima”, navodi se u izvještaju koji je objavila firma za cyber sigurnost Intezer u saradnji sa Solis Security.
“Sada njihovi napadi ciljaju na supply chain sisteme u sektorima proizvodnje i distribucije, koristeći nove sigurnosne propuste i napredne taktike”, dodaju istraživači.
Propusti koji su iskorišteni
Napadi XE Group koriste sljedeće sigurnosne propuste:
- CVE-2024-57968 (CVSS: 9.9): Ovaj propust omogućava neograničeno učitavanje datoteka s opasnim tipovima, što omogućava udaljenim autentifikovanim korisnicima da učitaju datoteke u neželjene mape. Propust je ispravljen u verziji VeraCore 2024.4.2.1.
- CVE-2025-25181 (CVSS: 5.8): SQL injekcija koja omogućava napadačima da izvrše proizvoljne SQL komande. Trenutno ne postoji zakrpa za ovaj propust.
Istraživanja Intezer i Solis Security otkrivaju da su ovi propusti iskorišteni za instalaciju ASPXSpy web shell-ova koji omogućavaju neovlašten pristup zaraženim sistemima, pri čemu je iskorišten CVE-2025-25181 još od početka 2020. godine. Aktivnost iskorištavanja otkrivena je u novembru 2024. godine.
Web shell-ovi omogućavaju napadačima da pretražuju fajl sistem, iznose podatke i kompresuju ih pomoću alata poput 7z. Takođe, koriste se za instalaciju Meterpreter payload-a koji pokušava da se poveže sa serverom pod kontrolom napadača na adresi 222.253.102[.]94:7979 putem Windows socket-a.
Novi varijant web shell-a takođe uključuje razne funkcionalnosti za skeniranje mreže, izvršavanje komandi i pokretanje SQL upita kako bi izvukli ili promenili kritične informacije.
Povezanost s ranijim napadima i sofisticiranost grupa
Raniji napadi od strane XE Group uglavnom su se oslanjali na poznate sigurnosne propuste, kao što su oni u Telerik UI za ASP.NET (CVE-2017-9248 i CVE-2019-18935, CVSS: 9.8). Ovo je prvi put da je ova hakerska grupa poveziva s zero-day iskorištavanjem, što ukazuje na rastuću sofisticiranost njihovih napada.
“Izdržljivost grupe u održavanju stalnog pristupa sistemima, kao što se vidi u ponovnoj aktivaciji web shell-a nakon nekoliko godina, naglašava njihovu posvećenost dugoročnim ciljevima”, izjavili su istraživači Nicole Fishbein, Joakim Kennedy i Justin Lentz.
XE Group sada cilja na supply chain sektore, što im omogućava da oni maksimalno povećavaju uticaj svojih operacija. Grupa pokazuje duboko razumijevanje sistemskih ranjivosti.
Prijetnja iz ranijih propusta
CVE-2019-18935, koja je označena od strane vlada Velike Britanije i SAD-a kao jedan od najiskorištavanijih propusta, još uvijek se koristi za napade, uključujući učitavanje reverse shell napada i izvršavanje naredbi za izviđanje preko cmd.exe.
“Uprkos tome što je propust u Telerik UI za ASP.NET AJAX star nekoliko godina, on i dalje predstavlja validan ulaz za napadače”, navodi firma eSentire. “Ovo naglašava važnost ažuriranja sistema, posebno kada su izloženi internetu.”
CISA dodaje 5 novih propusta u KEV katalog
Razvoj ove prijetnje dolazi u trenutku kada je CISA (Agencija za cyber sigurnost i infrastrukturu SAD-a) dodala pet novih sigurnosnih propusta u svoj Known Exploited Vulnerabilities (KEV) katalog, bazirano na dokazima o njihovoj aktivnoj eksploataciji. Novi propusti uključuju:
- CVE-2025-0411 (CVSS: 7.0): Propust u 7-Zip koji omogućava zaobilaženje Mark of the Web zaštite.
- CVE-2022-23748 (CVSS: 7.8): Propust u Dante Discovery Process Control.
- CVE-2024-21413 (CVSS: 9.8): Propust u Microsoft Outlook koji se odnosi na nepravilnu validaciju unosa.
- CVE-2020-29574 (CVSS: 9.8): SQL injekcija u CyberoamOS.
- CVE-2020-15069 (CVSS: 9.8): Buffer overflow u Sophos XG Firewall.
Na kraju, FCEB (Agencije Federalnih Civilnih Izvršnih Grana SAD-a) obavezane su da primijene potrebne zakrpe najkasnije do 27. februara 2025. kako bi se zaštitile od aktivnih prijetnji.
Zaključak
Napadi hakerske grupe XE Group pokazali su značajan porast sofisticiranosti njihovih metoda, uključujući iskorištavanje zero-day ranjivosti i ciljanje supply chain sektora. Ovi napadi naglašavaju važnost brzog i efikasnog krpljenje sistema, posebno kada su izloženi internetu, kako bi se spriječili ozbiljni sigurnosni incidenti.
Ostaje jasno da stalna budnost i proaktivno upravljanje sigurnosnim propustima predstavljaju ključnu strategiju u borbi protiv cyber prijetnji.
Izvor:The Hacker News
