Dreigingsactoren zijn waargenomen met het exploiteren van meerdere beveiligingsfouten in verschillende softwareproducten, waaronder Progress Telerik UI voor ASP.NET AJAX en Advantive Veracore, om omgekeerde shells en webschalen te laten vallen en aanhoudende externe toegang tot gecompromitteerde systemen te behouden.
De zero-day exploitatie van beveiligingsfouten in Veracore is toegeschreven aan een dreigingsacteur die bekend staat als XE-groep, een cybercriminaliteitsgroep die waarschijnlijk van de Vietnamese oorsprong is waarvan bekend is dat het sinds minstens 2010 actief is.
“XE Group is overgegaan van creditcardsring naar gerichte informatiediefstal, wat een belangrijke verschuiving in hun operationele prioriteiten markeerde,” zei Cybersecurity -bedrijf Intezer in een rapport gepubliceerd in samenwerking met Solis Security.
“Hun aanvallen zijn nu gericht op toeleveringsketens in de productie- en distributiesectoren, die nieuwe kwetsbaarheden en geavanceerde tactieken benutten.”
De kwetsbaarheden in kwestie worden hieronder vermeld –
- CVE-2024-57968 (CVSS -score: 9.9) – Een onbeperkte upload van bestanden met een kwetsbaarheid van het gevaarlijk type waarmee externe geverifieerde gebruikers bestanden kunnen uploaden naar onbedoelde mappen (opgelost in Veracode -versie 2024.4.2.1)
- CVE-2025-25181 (CVSS -score: 5.8) – Een kwetsbaarheid van SQL -injectie waarmee externe aanvallers willekeurige SQL -opdrachten kunnen uitvoeren (geen patch beschikbaar)
De nieuwste bevindingen van Intezer en Solis Security laten zien dat de tekortkomingen worden geketend om ASPXSPY-webschalen te implementeren voor ongeautoriseerde toegang tot geïnfecteerde systemen, in één geval met behulp van CVE-2025-25181 al in het begin van 2020. De uitbuiting werd in november ontdekt in november. 2024.
De webschalen zijn uitgerust met mogelijkheden om het bestandssysteem op te sommen, bestanden te exfiltreren en te comprimeren met behulp van tools zoals 7Z. De toegang wordt ook misbruikt om een payload van de meterpreter te laten vallen die probeert verbinding te maken met een acteur-gecontroleerde server (“222.253.102 (.) 94: 7979”) via een Windows Socket.
De bijgewerkte variant van de webshell bevat ook verschillende functies om netwerkscanning, opdrachtuitvoering en het uitvoeren van SQL -query’s om kritieke informatie te extraheren of bestaande gegevens te wijzigen.
Terwijl eerdere aanvallen die door Xe Group zijn gemonteerd, bekende kwetsbaarheden hebben bewapend, namelijk gebreken in Telerik UI voor ASP.NET (CVE-2017-9248 en CVE-2019-18935, CVSS-scores: 9.8), de ontwikkeling markeert de eerste keer dat de hackploeg heeft toegeschreven aan zero-day exploitatie, wat duidt op een toename van verfijning.
“Hun vermogen om aanhoudende toegang tot systemen te handhaven, zoals te zien bij de reactivering van een webschaaljaren na de eerste implementatie, benadrukt de toewijding van de groep aan langdurige doelstellingen,” zeiden onderzoekers Nicole Fishbein, Joakim Kennedy en Justin Lentz.
“Door zich te richten op toeleveringsketens in de productie- en distributiesectoren, maximaliseert XE Group niet alleen de impact van hun activiteiten, maar toont ook een acuut begrip van systemische kwetsbaarheden.”
CVE-2019-18935, die in 2021 door de Britse en Amerikaanse overheidsinstanties werd gemarkeerd als een van de meest uitgebuite kwetsbaarheden, is ook zo recent in actieve uitbuiting gekomen als vorige maand om een reverse shell te laden en vervolgverkenningsopdrachten uit te voeren via CMD via CMD .exe.
“Hoewel de kwetsbaarheid in uitvoering Telerik UI voor ASP.NET Ajax enkele jaren oud is, blijft het een haalbaar toegangspunt voor dreigingsactoren,” zei Esentire. “Dit benadrukt het belang van patching -systemen, vooral als ze worden blootgesteld aan internet.”
CISA voegt 5 fouten toe aan Kev -catalogus
De ontwikkeling komt wanneer de Amerikaanse cybersecurity en infrastructuurbeveiliging (CISA) vijf beveiligingsfouten heeft toegevoegd aan de bekende uitgebuite catalogus van Vulnerabilities (KEV), gebaseerd op bewijs van actieve uitbuiting.
- CVE-2025-0411 (CVSS -score: 7.0) – 7 -Zip Mark van de Web Bypass -kwetsbaarheid
- CVE-2022-23748 (CVSS -score: 7.8) – kwetsbaarheid van Dante Discovery Process Control
- CVE-2024-21413 (CVSS -score: 9.8) – Kwetsbaarheid van Microsoft Outlook onjuiste invoervalidatie
- CVE-2020-29574 (CVSS -score: 9.8) – Cyberoamos (CROS) SQL Injectie -kwetsbaarheid
- CVE-2020-15069 (CVSS -score: 9.8) – Sophos XG Firewall Buffer Overflow Kwetsbaarheid
Vorige week onthulde Trend Micro dat Russische cybercriminaliteit outfits exploiteren van CVE-2025-0411 om de Smokeloader-malware te distribueren als onderdeel van speer-phishing-campagnes gericht op Oekraïense entiteiten.
De exploitatie van CVE-2020-29574 en CVE-2020-15069 is daarentegen gekoppeld aan een Chinese spionagecampagne die Sophos onder de naam Pacific Rim volgde.
Er zijn momenteel geen rapporten over hoe CVE-2024-21413, ook bijgevolgd als monikerlink per checker-punt, wordt geëxploiteerd in het wild. Wat CVE-2022-23748 betreft, heeft het cybersecuritybedrijf eind 2022 bekendgemaakt dat het de Toddycat-dreigingsacteur heeft waargenomen die gebruik maakte van een DLL-kwetsbaarheid bij het laden van de side-load in Audinate Dante Discovery (“MDNSRESPONDE.EXE”).
Agenties van de Federal Civilian Executive Branch (FCEB) zijn opgelegd om de nodige updates toe te passen op 27 februari 2025, onder bindende operationele richtlijn (BZV) 22-01 om te beschermen tegen actieve bedreigingen.
