Gli attori delle minacce sono stati osservati sfruttando più difetti di sicurezza in vari prodotti software program, tra cui l’interfaccia utente di Progress Telerik per ASP.NET AJAX e Veracore avanzato, per far cadere gusci inversi e conchiglie Net e mantenere un persistente accesso remoto a sistemi compromessi.
Lo sfruttamento zero-day dei difetti di sicurezza a Veracore è stato attribuito a un attore di minaccia noto come Gruppo XEun gruppo di criminalità informatica probabilmente di origine vietnamita che è attivo per almeno il 2010.
“Il gruppo XE è passato dallo screening delle carte di credito al furto di informazioni mirate, segnando un cambiamento significativo nelle loro priorità operative”, la società di sicurezza informatica Interezer disse In un rapporto pubblicato in collaborazione con Solis Safety.
“I loro attacchi ora prendono di mira le catene di approvvigionamento nei settori manifatturiero e di distribuzione, sfruttando nuove vulnerabilità e tattiche avanzate.”
Le vulnerabilità in questione sono elencate di seguito –
- CVE-2024-57968 (Punteggio CVSS: 9.9) – Un caricamento senza restrizioni di file con una vulnerabilità di tipo pericoloso che consente agli utenti autenticati remoti di caricare file su cartelle non intenzionali (fissata nella versione Veracode 2024.4.2.1)
- CVE-2025-25181 (Punteggio CVSS: 5.8) – Una vulnerabilità di iniezione SQL che consente agli aggressori remoti di eseguire comandi SQL arbitrari (nessuna patch disponibile)
Le ultime scoperte di Interzer e Solis Safety mostrano che le carenze vengono incatenate da distribuire Aspxspy Shells Net per accesso non autorizzato ai sistemi infetti, in una istanza sfruttando CVE-2025-25181 già all’inizio del 2020. L’attività di sfruttamento è stata scoperta nel novembre 2024.
Le shell Net sono dotate di funzionalità per elencare il file system, exfiltrate e comprimerle utilizzando strumenti come 7Z. L’accesso viene inoltre abuso per far cadere un payload Meterpreter che tenta di connettersi a un server controllato da attori (“222.253.102 (.) 94: 7979”) tramite una presa Home windows.
La variante aggiornata della shell Net incorpora anche una varietà di funzionalità per facilitare la scansione della rete, l’esecuzione dei comandi ed eseguire question SQL per estrarre informazioni critiche o modificare i dati esistenti.
Mentre gli attacchi precedenti montati da XE Group hanno armato vulnerabilità conosciute, vale a dire difetti nell’interfaccia utente di Telerik per ASP.NET (CVE-2017-9248 E CVE-2019-18935Punteggi CVSS: 9.8), lo sviluppo segna la prima volta che l’equipaggio di hacking è stato attribuito allo sfruttamento a zero giorni, indicando un aumento della raffinatezza.
“La loro capacità di mantenere l’accesso persistente ai sistemi, come si vede con la riattivazione di un guscio di internet anni dopo lo spiegamento iniziale, evidenzia l’impegno del gruppo per gli obiettivi a lungo termine”, hanno detto i ricercatori Nicole Fishbein, Joakim Kennedy e Justin Lentz.
“Prendendo di mira le catene di approvvigionamento nei settori della produzione e della distribuzione, il gruppo XE non solo massimizza l’impatto delle loro operazioni, ma dimostra anche una comprensione acuta delle vulnerabilità sistemiche.”
CVE-2019-18935, che period segnalato Da parte del Regno Unito e delle agenzie governative statunitensi nel 2021 come una delle vulnerabilità più sfruttate, è stata anche sottoposta a sfruttamento attivo di recente il mese scorso per caricare una shell inversa ed eseguire comandi di ricognizione di follow-up tramite CMD.EXE.
“Mentre la vulnerabilità in corso dell’interfaccia utente di Telerik per ASP.NET Ajax ha diversi anni, continua advert essere un punto di ingresso praticabile per gli attori delle minacce”, Esentire disse. “Ciò evidenzia l’importanza dei sistemi di patch, soprattutto se verranno esposti a Web.”
CISA aggiunge 5 difetti al catalogo KEV
Lo sviluppo arriva come l’Agenzia per la sicurezza informatica e infrastrutturale degli Stati Uniti (CISA) aggiunto Cinque difetti di sicurezza alle sue vulnerabilità sfruttate notice (Kev) Catalogo, basato sull’evidenza di sfruttamento attivo.
- CVE-2025-0411 (Punteggio CVSS: 7.0) – Marco a 7 zip della vulnerabilità del bypass internet
- CVE-2022-23748 (Punteggio CVSS: 7.8) – Dante Discovery Course of Management Vulnerability
- CVE-2024-21413 (Punteggio CVSS: 9.8) – Vulnerabilità di convalida con enter impropria di Microsoft Outlook
- CVE-2020-29574 (Punteggio CVSS: 9,8) – Cyberoamos (CROS) Vulnerabilità di iniezione SQL
- CVE-2020-15069 (Punteggio CVSS: 9,8) – Vulnerabilità di overflow del buffer firewall Sophos XG
La scorsa settimana, Development Micro rivelato Che gli abiti del crimine informatico russo stiano sfruttando la CVE-2025-0411 per distribuire il malware del fumante come parte delle campagne di spear-phishing rivolte a entità ucraine.
Lo sfruttamento di CVE-2020-29574 e CVE-2020-15069, d’altra parte, è stato collegato a una campagna di spionaggio cinese tracciata da Sophos sotto il moniker Pacific Rim.
Al momento non ci sono rapporti su come CVE-2024-21413, anche monitorato come MonikerLink per Examine Level, venga sfruttato in natura. Per quanto riguarda CVE-2022-23748, la società di sicurezza informatica divulgato Alla superb del 2022 che osservava il Toddycat Attore di minaccia che sfrutta una vulnerabilità a caricamento laterale DLL in Audina Dante Discovery (“mdnsresponder.exe”).
Filiale esecutivo civile federale (FCEB) Le agenzie sono incaricate di applicare gli aggiornamenti necessari entro il 27 febbraio 2025, nella direttiva operativa vincolante (BOD) 22-01 per salvaguardare le minacce attive.
