Une organisation cybercriminale qui fonctionne depuis plus d’une décennie est passé de l’écrémage des cartes de crédit pour exploiter les vulnérabilités zéro-jours, Selon une enquête conjointe par les entreprises de cybersécurité Solis Security et Intezer. Le groupe, suivi en tant que groupe XE, présente désormais des risques accrus pour les chaînes d’approvisionnement mondiales, en particulier dans les secteurs de la fabrication et de la distribution, en tirant parti des tactiques furtives et de l’accès à long terme du système.
Initialement identifié en 2013 pour avoir ciblé les plateformes de commerce électronique avec des skimmers de carte de crédit, le groupe XE a régulièrement affiné ses méthodes. Les premières campagnes ont exploité les vulnérabilités connues dans des outils largement utilisés comme Terlik UI pour ASP.NETDéploiement de webshells – scripts malveillants qui accordent un accès à district distant – pour voler des données de paiement. D’ici 2024, le groupe s’est déplacé vers le vol d’informations ciblé, exploitant deux vulnérabilités de jour zéro dans VeracoreUn logiciel de gestion de la chaîne d’approvisionnement utilisé par les sociétés de réalisation et les détaillants.
Les vulnérabilités – un défaut de validation de téléchargement et un défaut d’injection SQL – ont permis au groupe XE d’infiltrer les systèmes, d’extrater des fichiers de configuration et de maintenir l’accès pendant des années. Notamment, le groupe a réactivé un webshell en 2024 qui avait été planté dans une violation de 2020, démontrant un niveau sophistiqué de patience et de discipline opérationnelle.
Les CVE pour la faille n’ont pas été rendus publics, mais un représentant Intezer a déclaré à Cyberscoop qu’ils seront libérés peu de temps après la validation finale de Mitre. Compagnie mère de Veracore, adverse a émis une solution temporaire Pour le défaut de validation de téléchargement en novembre. Intezer a déclaré à Cyberscoop que la faille SQL reste non corrigée.
Les e-mails à Advance n’ont pas été retournés.
Les chercheurs ont constaté que l’infrastructure du groupe comprend des domaines de commandement et de contrôle et d’hébergement d’outils d’écrémage, qu’il a utilisés au fil des ans pour automatiser les tactiques:
- En 2020, le groupe a extrait les informations d’identification de la base de données via des requêtes Transact-SQL obscurcis, en les utilisant plus tard pour télécharger des fichiers malveillants.
- Le groupe a utilisé des variantes personnalisées de coquilles de boutiques open source comme Aspxspyavec des fonctionnalités pour la manipulation de fichiers, la numérisation réseau et la reconnaissance de la base de données SQL. D’ici 2024, ces outils comprenaient l’exfiltration automatisée des données et la livraison de charge utile basée sur PowerShell.
- Les campagnes récentes ont utilisé des utilitaires Microsoft Windows natifs comme l’ARP et netstat pour la cartographie du réseau, tandis que les scripts PowerShell chargés MALWORED METERPRERTER – Un outil lié à des menaces persistantes avancées – pour établir des canaux de communication secrètes.
L’une des conclusions les plus remarquables était la capacité de XE Group à maintenir l’accès à un système compromis pendant plus de quatre ans. En novembre 2024, le groupe a réutilisé des références volées en 2020 pour réactiver une coque en ligne, ce qui suggère qu’ils hiérarchisent la persistance par rapport à la monétisation immédiate. Cette approche leur permet de rassembler tranquillement des informations ou de mettre en scène des attaques plus grandes.
“Ces découvertes récentes soulignent que le groupe XE est non seulement actif mais évoluant”, indique le blog. «La capacité du groupe à exploiter les vulnérabilités inconnues et à maintenir un accès prolongé aux systèmes ciblés reflète un changement significatif dans leur stratégie opérationnelle.»
Des recherches antérieures sur le groupe XE indique qu’il est probablement Situé au Vietnam. Bien que l’attribution définitive reste difficile, les marqueurs historiques – y compris les adresses e-mail liées au Vietnamien et les pseudonymes comme «Xethanh» – suggèrent une opération bien ressourcée, mais des efforts minimaux pour masquer son identité. L’absence d’obscurité signifie que le groupe XE est peu susceptible d’être aligné par l’État, car ces groupes utilisent généralement une sécurité opérationnelle plus stricte.
Écrit par Greg Otto
Greg Otto est rédacteur en chef de Cyberscoop, supervisant tout le contenu éditorial du site Web. Greg a dirigé la couverture de la cybersécurité qui a remporté divers prix, notamment des distinctions de la Society of Professional Journalists et de l’American Society of Business Publication éditeurs. Avant de rejoindre Scoop News Group, Greg a travaillé pour le Washington Business Journal, US News & World Report et WTOP Radio. Il a un diplôme en journalisme diffusé de l’Université Temple.
#fraude #par #carte #crédit #aux #exploits #zérojours #groupe #élargissant #les #efforts #cybercriminal