Хакеры-ждуны: как XE Group годами прячется в цепочках поставок корпораций

Специалисты Solis Security и Intezer выявили новую тактику киберпреступной группы XE Group, которая с 2024 года сосредоточилась на целенаправленной краже информации. Ранее XE Group была известна массовыми атаками на веб-приложения с целью внедрения скиммеров и кражи паролей, но теперь злоумышленники перешли на эксплуатацию уязвимостей нулевого дня (Zero-Day) в цепочках поставок, компрометацию систем управления заказами (OMS) и внедрение вредоносных веб-оболочек.

В ходе расследования специалисты обнаружили две критические уязвимости в программном обеспечении VeraCore , широко используемом компаниями в сфере логистики, складского хранения и обработки заказов. Ошибки позволили XE Group загружать вредоносные файлы на сервер без проверки, извлекать данные из базы и получать доступ к учётным записям.

С помощью недостатков в VeraCore киберпреступники загружали веб-оболочки, обеспечивающие удалённое управление серверами жертв. Анализ показал, что группа XE Group оставалась незамеченной в течение нескольких лет, поддерживая долгосрочный доступ ко взломанным системам.

Отличительная черта XE Group — высокая степень скрытности. В одном из расследованных случаев злоумышленники повторно активировали веб-оболочку, установленную ими ещё в 2020 году. Это говорит о том, что атака была продуманной и рассчитана на многолетнее присутствие в системе жертвы.

Используемые хакерами техники включают:

— Внедрение вредоносных скриптов через загрузку изображений, где файлы PNG на самом деле содержат зашифрованные исполняемые команды;
— Использование PowerShell для скрытия активности, загрузки вредоносного кода в память и обхода антивирусного ПО;
— Эксплуатацию плохо защищённых компонентов VeraCore, например загрузчиков файлов, которые не имели строгих проверок безопасности.

В ноябре 2024 года исследователи обнаружили, что злоумышленники разработали новый метод сбора конфигурационных файлов сервера, используя специально подготовленный bat-файл, который собирал все важные данные в один файл и отправлял их на удалённый сервер.

История атак XE Group

XE Group известна с 2013 года и первоначально специализировалась на внедрении вредоносных скриптов в сайты электронной коммерции. В 2020 году специалисты зафиксировали активность группы на серверах Microsoft IIS. В 2021 году стало известно, что XE Group связана с сетью серверов, управляемых из Вьетнама, и использует Passive DNS для сохранения анонимности.

В 2023 году группа перешла на более продвинутые методы, включая использование атак через уязвимости Progress Telerik (CVE-2019-18935), что позволило проникать в инфраструктуру крупных организаций. Последняя активность XE Group связана с атаками на системы, работающие на VeraCore. В частности, злоумышленники использовали следующую последовательность действий:

1. SQL-инъекция (CVE-2025-25181) — через специально подготовленный SQL-запрос преступники извлекали списки пользователей и пароли.
2. Эксплуатация уязвимости загрузки файлов (CVE-2024-57968) — злоумышленники загружали веб-оболочки ASPX, получая полный контроль над системой.
3. Активное использование PowerShell — загруженный скрипт выполнял команды для удалённого управления сервером и скрытой передачи данных.
4. Автоматизация атак — XE Group внедрила инструменты для сканирования сети, поиска конфиденциальных данных и создания временных файлов с украденной информацией.

XE Group продолжает развиваться и становиться более изощрённой. Способность годами удерживать доступ к системам и использовать новые эксплойты делает киберпреступников одной из самых опасных киберугроз для бизнеса и государственных организаций.

Специалисты рекомендуют:

— Немедленно обновить программное обеспечение VeraCore до последней версии и закрыть выявленные уязвимости.
— Провести аудит безопасности веб-приложений, чтобы исключить наличие загруженных веб-оболочек.
— Использовать системы мониторинга активности, чтобы выявлять аномальные действия, такие как скрытые SQL-запросы или нестандартные загрузки файлов.
— Ограничить доступ к серверным компонентам и внедрить строгие политики аутентификации.

Последние атаки XE Group подчёркивают важность комплексной защиты корпоративных систем. В условиях, когда киберпреступники всё активнее используют сложные атаки на цепочки поставок, компаниям необходимо повышать уровень своей кибербезопасности, чтобы минимизировать риски взломов и утечек данных.