Grupo Hacker XE explora vulnerabilidade Zero-Day em diversos softwares para implantar Web Shells persistentes

Pesquisadores de segurança cibernética identificaram hackers explorando falhas críticas em softwares populares, incluindo Progress Telerik UI para ASP.NET AJAX e Advantive VeraCore, para implantar shells reversos e web shells, garantindo acesso remoto persistente a sistemas comprometidos.

A exploração de zero-day no VeraCore foi atribuída ao grupo hacker XE, possivelmente de origem vietnamita, ativo desde pelo menos 2010. De acordo com um relatório da Intezer em colaboração com a Solis Security, o XE Group mudou seu foco de ataques de skimming de cartões de crédito para o roubo direcionado de informações, agora visando cadeias de suprimentos nos setores de manufatura e distribuição, explorando novas vulnerabilidades e técnicas avançadas.

Principais Vulnerabilidades Exploradas pelo XE Group

As falhas exploradas pelos hackers incluem:

• CVE-2024-57968 (CVSS 9.9) – Falha de upload irrestrito de arquivos perigosos, permitindo que usuários remotos autenticados carreguem arquivos em pastas não autorizadas (corrigida na versão 2024.4.2.1 do VeraCore).

• CVE-2025-25181 (CVSS 5.8) – Falha de SQL Injection, possibilitando a execução remota de comandos SQL (ainda sem correção disponível).

Os ataques observados pela Intezer e Solis Security indicam que os hackers estão encadeando essas vulnerabilidades para implantar web shells ASPXSpy em sistemas comprometidos, sendo que a CVE-2025-25181 já vinha sendo explorada desde 2020. Os pesquisadores descobriram a atividade em novembro de 2024.

Os web shells implantados permitem que os invasores enumerem o sistema de arquivos, exfiltrem dados e comprimam arquivos utilizando ferramentas como o 7z. Além disso, os hackers utilizam esse acesso para injetar cargas maliciosas, como o Meterpreter, conectando-se a um servidor controlado pelos invasores (222.253.102[.]94:7979).

A nova versão do web shell implementa recursos adicionais para escaneamento de redes, execução de comandos e manipulação de consultas SQL, permitindo extrair informações sensíveis ou modificar dados existentes.

A Evolução dos Ataques do XE Group

Anteriormente, o XE Group explorava vulnerabilidades já conhecidas, como as falhas no Telerik UI para ASP.NET (CVE-2017-9248 e CVE-2019-18935, ambas com CVSS 9.8). No entanto, esta é a primeira vez que o grupo é vinculado à exploração de um zero-day, demonstrando uma evolução na sofisticação de suas táticas.

Segundo os pesquisadores Nicole Fishbein, Joakim Kennedy e Justin Lentz, o grupo tem a capacidade de manter acesso persistente aos sistemas e já demonstrou que pode reativar um web shell anos depois de sua implantação inicial, reforçando seu compromisso com operações de longo prazo.

"Ao focar nas cadeias de suprimentos dos setores de manufatura e distribuição, o XE Group não apenas maximiza o impacto de suas operações, mas também demonstra um profundo entendimento das vulnerabilidades sistêmicas", afirmaram os especialistas.

Outras Falhas Ativamente Exploradas e Adicionadas ao Catálogo da CISA

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou recentemente cinco novas vulnerabilidades ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), reforçando a necessidade de aplicação imediata de patches. Entre elas estão:

• CVE-2025-0411 (CVSS 7.0) – Vulnerabilidade no 7-Zip que permite bypass da Mark of the Web.

• CVE-2022-23748 (CVSS 7.8) – Falha no processo de descoberta do Dante.

• CVE-2024-21413 (CVSS 9.8) – Falha de validação de entrada no Microsoft Outlook.

• CVE-2020-29574 (CVSS 9.8) – SQL Injection no CyberoamOS (CROS).

• CVE-2020-15069 (CVSS 9.8) – Falha de Buffer Overflow no firewall Sophos XG.

A CVE-2025-0411 tem sido explorada por grupos hackers russos para distribuir o malware SmokeLoader em campanhas de spear-phishing contra alvos ucranianos. Já as falhas CVE-2020-29574 e CVE-2020-15069 foram associadas a campanhas de espionagem chinesas, rastreadas pela Sophos sob o nome Pacific Rim.

As agências federais dos EUA (FCEB) têm até 27 de fevereiro de 2025 para aplicar os patches obrigatórios conforme a Binding Operational Directive (BOD) 22-01, visando mitigar essas ameaças.

Via - THN