XE Group превращает ваши серверы в оружие против вас

Группа XE Group, известная своими атаками на веб-приложения и похищением данных, теперь нашла более изощрённый способ действий. Хакеры переходят к целевым атакам на цепочки поставок, используя уязвимости в широко распространённых корпоративных системах.

С 2024 года их новая стратегия основана на поиске уязвимостей нулевого дня в программном обеспечении, которое компании используют для управления заказами и логистикой. Например, хакеры обнаружили критические бреши в VeraCore, ПО, которое помогает организациям обрабатывать заказы. Эти уязвимости позволяли злоумышленникам незаметно внедрять веб-оболочки и скачивать конфиденциальные данные прямо с серверов.

XE Group не просто атакует системы — они стараются остаться незамеченными на годы. В одном из случаев вредоносная оболочка, установленная ещё в 2020 году, была вновь активирована в 2024 году. Это говорит о том, что преступники не просто ищут слабые места, а сознательно строят долгосрочные позиции, которые можно использовать в любой момент.

Их методы впечатляют своим разнообразием. Хакеры маскируют команды под изображения PNG, используют PowerShell для обхода защитных механизмов и встраивают вредоносные скрипты, которые позволяют собирать конфиденциальную информацию, такую как пароли, данные пользователей и конфигурационные файлы серверов.

История XE Group тянется с 2013 года. За это время они развили свои техники от простых скриптов на сайтах до сложных многоэтапных атак на корпоративные системы. С каждым годом они становятся всё опаснее, в том числе благодаря использованию уязвимостей Progress Telerik и других распространённых платформ.

В результате действий XE Group пострадали как бизнесы, так и государственные учреждения, которым пришлось внедрять новые меры защиты. Специалисты настаивают на том, что компании должны не только закрывать уязвимости, но и улучшать мониторинг сетевой активности, чтобы не дать хакерам шанса прятаться в их системах годами.