Κακόβουλοι παράγοντες έχουν εντοπιστεί να εκμεταλλεύονται πολλαπλές ευπάθειες ασφαλείας σε διάφορα λογισμικά, όπως το Progress Telerik UI για ASP.NET AJAX και το Advantive VeraCore, με σκοπό την εγκατάσταση reverse shells και web shells, εξασφαλίζοντας μακροχρόνια απομακρυσμένη πρόσβαση σε παραβιασμένα συστήματα.
Η εκμετάλλευση zero-day ευπαθειών στο VeraCore έχει αποδοθεί στην ομάδα XE Group, μια κυβερνοεγκληματική ομάδα πιθανής βιετναμέζικης προέλευσης, που δραστηριοποιείται τουλάχιστον από το 2010.
“Η ομάδα XE πέρασε από την υποκλοπή στοιχείων πιστωτικών καρτών στην στοχευμένη κλοπή πληροφοριών, σηματοδοτώντας μια σημαντική αλλαγή στις επιχειρησιακές της προτεραιότητες,” ανέφερε η εταιρεία κυβερνοασφάλειας Intezer σε έκθεση που δημοσιεύτηκε σε συνεργασία με τη Solis Security.
“Οι επιθέσεις τους πλέον στοχεύουν τις εφοδιαστικές αλυσίδες στους τομείς της μεταποίησης και της διανομής, αξιοποιώντας νέες ευπάθειες και εξελιγμένες τακτικές.”
Ευπάθειες που έχουν εκμεταλλευτεί:
CVE-2024-57968 (CVSS: 9.9) – Ευπάθεια ανεξέλεγκτης μεταφόρτωσης αρχείων επικίνδυνου τύπου, που επιτρέπει σε απομακρυσμένους αυθεντικοποιημένους χρήστες να ανεβάζουν αρχεία σε μη εξουσιοδοτημένους φακέλους (Διορθώθηκε στην έκδοση VeraCore 2024.4.2.1).
CVE-2025-25181 (CVSS: 5.8) – Ευπάθεια SQL injection που επιτρέπει σε απομακρυσμένους εισβολείς να εκτελούν αυθαίρετες εντολές SQL (Δεν υπάρχει διαθέσιμο patch).
Σύμφωνα με την Intezer και τη Solis Security, αυτές οι ευπάθειες χρησιμοποιούνται σε συνδυασμό για την εγκατάσταση ASPXSpy web shells, επιτρέποντας μη εξουσιοδοτημένη πρόσβαση σε συστήματα. Σε μία περίπτωση, η CVE-2025-25181 έχει αξιοποιηθεί ήδη από το 2020, με δραστηριότητα που αποκαλύφθηκε τον Νοέμβριο του 2024.
Τα web shells που χρησιμοποιεί η XE Group παρέχουν δυνατότητες χαρτογράφησης του συστήματος αρχείων, εξαγωγής αρχείων και συμπίεσής τους με εργαλεία όπως το 7z. Επιπλέον, αξιοποιούνται για την εγκατάσταση φορτίων Meterpreter, που επιχειρούν να συνδεθούν σε διακομιστή ελεγχόμενο από τον εισβολέα (“222.253.102[.]94:7979”) μέσω Windows socket.
Η νέα έκδοση του web shell περιλαμβάνει επίσης λειτουργίες για σάρωση δικτύου, εκτέλεση εντολών και υποβολή SQL queries για την απόσπαση κρίσιμων δεδομένων ή την τροποποίηση υπάρχουσας πληροφορίας.
Ενώ προηγούμενες επιθέσεις της XE Group είχαν αξιοποιήσει γνωστές ευπάθειες, όπως οι CVE-2017-9248 και CVE-2019-18935 (CVSS: 9.8) στο Telerik UI για ASP.NET, η τρέχουσα εξέλιξη σηματοδοτεί την πρώτη φορά που αποδίδεται στην ομάδα η εκμετάλλευση zero-day ευπαθειών, δείχνοντας αυξημένη τεχνική ικανότητα.
“Η ικανότητά τους να διατηρούν μακροχρόνια πρόσβαση σε συστήματα, όπως φαίνεται με την επανενεργοποίηση ενός web shell χρόνια μετά την αρχική του εγκατάσταση, υπογραμμίζει τη δέσμευσή τους σε μακροπρόθεσμους στόχους,” ανέφεραν οι ερευνητές Nicole Fishbein, Joakim Kennedy και Justin Lentz.
“Στοχεύοντας τις εφοδιαστικές αλυσίδες στη μεταποίηση και τη διανομή, η XE Group όχι μόνο μεγιστοποιεί τον αντίκτυπο των επιχειρήσεών της αλλά επίσης επιδεικνύει βαθιά κατανόηση των συστημικών αδυναμιών.”
Η ευπάθεια CVE-2019-18935, που είχε επισημανθεί από τις κυβερνήσεις των Η.Π.Α. και του Ηνωμένου Βασιλείου το 2021 ως μία από τις πιο εκμεταλλευόμενες, συνεχίζει να αξιοποιείται, με πρόσφατες επιθέσεις τον περασμένο μήνα που περιλάμβαναν την εγκατάσταση reverse shell και εκτέλεση αναγνωριστικών εντολών μέσω cmd.exe.
“Παρότι η ευπάθεια στο Progress Telerik UI για ASP.NET AJAX είναι αρκετά παλιά, εξακολουθεί να αποτελεί μια πιθανή δίοδο για επιτιθέμενους,” ανέφερε η eSentire. “Αυτό υπογραμμίζει τη σημασία της τακτικής ενημέρωσης των συστημάτων, ειδικά όταν είναι εκτεθειμένα στο διαδίκτυο.”
Προσθήκη 5 Ευπαθειών στον Κατάλογο KEV της CISA
Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των Η.Π.Α. (CISA) πρόσθεσε πέντε νέες ευπάθειες στον κατάλογο “Known Exploited Vulnerabilities” (KEV) λόγω επιβεβαιωμένης εκμετάλλευσης:
CVE-2025-0411 (CVSS: 7.0) – Ευπάθεια παράκαμψης Mark of the Web στο 7-Zip
CVE-2022-23748 (CVSS: 7.8) – Ευπάθεια στον έλεγχο διαδικασίας ανακάλυψης του Dante
CVE-2024-21413 (CVSS: 9.8) – Ευπάθεια ακατάλληλης επικύρωσης εισόδου στο Microsoft Outlook
CVE-2020-29574 (CVSS: 9.8) – Ευπάθεια SQL injection στο CyberoamOS (CROS)
CVE-2020-15069 (CVSS: 9.8) – Ευπάθεια buffer overflow στο Sophos XG Firewall
Την περασμένη εβδομάδα, η Trend Micro αποκάλυψε ότι ρωσικές κυβερνοεγκληματικές ομάδες εκμεταλλεύονται την CVE-2025-0411 για τη διανομή του κακόβουλου λογισμικού SmokeLoader μέσω spear-phishing επιθέσεων σε ουκρανικούς οργανισμούς.
Η εκμετάλλευση των CVE-2020-29574 και CVE-2020-15069, από την άλλη, έχει συνδεθεί με κινεζική κατασκοπευτική εκστρατεία που παρακολουθείται από τη Sophos με την κωδική ονομασία Pacific Rim.
Δεν υπάρχουν ακόμη αναφορές για το πώς εκμεταλλεύονται την CVE-2024-21413, ενώ για την CVE-2022-23748, η εταιρεία κυβερνοασφάλειας αποκάλυψε ότι η ομάδα ToddyCat αξιοποίησε μια ευπάθεια DLL side-loading στην Audinate Dante Discovery (“mDNSResponder.exe”).
Οι ομοσπονδιακές υπηρεσίες των Η.Π.Α. έχουν υποχρέωση να εφαρμόσουν τις απαραίτητες ενημερώσεις έως τις 27 Φεβρουαρίου 2025, σύμφωνα με την οδηγία BOD 22-01, ώστε να προστατευθούν από ενεργές απειλές.
Πηγή: thehackernews.com
