Эксперты компаний Solis Security и Intezer выявили новую тактику киберпреступной группы XE Group. С 2024 года они начали краденную информацию. Раньше они атаковали веб-приложения, чтобы украсть пароли, но теперь они используют уязвимости Zero-Day, чтобы заразить системы управления заказами и вставить вредоносные программы на веб-сайты.
Специалисты нашли две серьезные ошибки в программе VeraCore, которую часто используют в логистике и складском хранении. XE Group использовала эти ошибки, чтобы загружать вредоносные программы на сервер, красть данные и получать доступ к учетным записям.
XE Group оставалась незамеченной на системах жертв в течение многих лет, используя разные хитрости. Они даже активировали вредоносные программы, установленные в 2020 году. Они используют разные методы, например, внедряют вредоносные скрипты через загрузку изображений и скрывают свою активность с помощью PowerShell.
Исследователи также обнаружили, что XE Group теперь собирает конфигурационные файлы сервера с помощью специального bat-файла. Эта группа известна с 2013 года и стала более сложной в своих атаках, используя уязвимости Progress Telerik, чтобы проникнуть в системы крупных компаний.
XE Group продолжает развиваться и становиться опасной для бизнеса и государственных организаций. Специалисты рекомендуют обновить программное обеспечение VeraCore, провести аудит безопасности и использовать системы мониторинга для обнаружения аномалий. Важно также ограничить доступ к серверам и усилить политику аутентификации, чтобы защитить системы от атак XE Group.
