Agentes de ameaças foram observados explorando múltiplas vulnerabilidades de segurança em vários produtos de software, incluindo o Progress Telerik UI para ASP.NET AJAX e o Advantive VeraCore, para implantar reverse shells e web shells, mantendo acesso remoto persistente aos sistemas comprometidos.
A exploração de vulnerabilidades zero-day no VeraCore foi atribuída a um agente de ameaças conhecido como XE Group, um grupo de cibercrime provavelmente de origem vietnamita, conhecido por estar ativo desde pelo menos 2010.
"O XE Group passou de skimming de cartões de crédito para o roubo de informações direcionado, marcando uma mudança significativa em suas prioridades operacionais", disse a empresa de cibersegurança Intezer em um relatório publicado em colaboração com a Solis Security.
Seus ataques agora visam as cadeias de suprimentos nos setores de fabricação e distribuição, aproveitando novas vulnerabilidades e táticas avançadas.
As vulnerabilidades em questão estão listadas abaixo:
CVE-2024-57968
(pontuação CVSS: 9.9) - Um upload desrestrito de arquivos com uma vulnerabilidade de tipo perigoso que permite a usuários remotos autenticados o upload de arquivos para pastas não intencionais (Corrigido na versão VeraCore 2024.4.2.1)
CVE-2025-25181
(pontuação CVSS: 5.8) - Uma vulnerabilidade de injeção SQL que permite a atacantes remotos executar comandos SQL arbitrários (Sem correção disponível)
As últimas descobertas da Intezer e da Solis Security mostram que as deficiências estão sendo encadeadas para implantar web shells ASPXSpy para acesso não autorizado a sistemas infectados, em um caso utilizando
CVE-2025-25181
tão atrás quanto no início de 2020.
A atividade de exploração foi descoberta em novembro de 2024.
Os web shells vêm equipados com capacidades para enumerar o sistema de arquivos, exfiltrar arquivos e comprimi-los usando ferramentas como 7z.
O acesso também é abusado para soltar um payload útil Meterpreter que tenta se conectar a um servidor controlado pelo ator ("222.253.102[.]94:7979") via um socket do Windows.
A variante atualizada do web shell também incorpora uma variedade de recursos para facilitar a varredura de redes, execução de comandos e a execução de consultas SQL para extrair informações críticas ou modificar dados existentes.
Enquanto ataques anteriores montados pelo XE Group armaram vulnerabilidades conhecidas, nomeadamente falhas no Telerik UI para ASP.NET (
CVE-2017-9248
e
CVE-2019-18935
, pontuações CVSS: 9.8), o desenvolvimento marca a primeira vez que a equipe de hacking foi atribuída a exploração de zero-day, indicando um aumento na sofisticação.
"Sua capacidade de manter acesso persistente a sistemas, como visto com a reativação de um web shell anos após a implantação inicial, destaca o compromisso do grupo com objetivos de longo prazo", disseram os pesquisadores Nicole Fishbein, Joakim Kennedy e Justin Lentz.
Ao visar cadeias de suprimentos nos setores de fabricação e distribuição, o XE Group não apenas maximiza o impacto de suas operações, mas também demonstra uma compreensão aguda das vulnerabilidades sistêmicas.
CVE-2019-18935
, que foi sinalizado por agências governamentais do Reino Unido e dos EUA em 2021 como uma das vulnerabilidades mais exploradas, também foi ativamente explorado até o mês passado para carregar um reverse shell e executar comandos de reconhecimento subsequentes via cmd.exe.
"Embora a vulnerabilidade no Progress Telerik UI para ASP.NET AJAX seja de vários anos atrás, continua sendo um ponto de entrada viável para agentes de ameaças", disse a eSentire.
Isso destaca a importância de corrigir sistemas, especialmente se eles vão estar expostos à internet. A CISA Adiciona 5 Falhas ao Catálogo KEV O desenvolvimento ocorre enquanto a Agência de Segurança da Infraestrutura e Cibersegurança dos EUA (CISA) adicionou cinco falhas de segurança ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), com base em evidências de exploração ativa.
CVE-2025-0411 (pontuação CVSS: 7.0) - Vulnerabilidade de Bypass da Marca da Web do 7-Zip
CVE-2022-23748
(pontuação CVSS: 7.8) - Vulnerabilidade de Controle do Processo de Descoberta da Dante
CVE-2024-21413
(pontuação CVSS: 9.8) - Vulnerabilidade de Validação Incorreta de Entrada do Microsoft Outlook
CVE-2020-29574
(pontuação CVSS: 9.8) - Vulnerabilidade de Injeção SQL do CyberoamOS (CROS)
CVE-2020-15069
(pontuação CVSS: 9.8) - Vulnerabilidade de Transbordamento de Buffer do Firewall XG da Sophos
Na semana passada, a Trend Micro revelou que organizações criminosas russas estão explorando o CVE-2025-0411 para distribuir o malware SmokeLoader como parte de campanhas de spear-phishing direcionadas a entidades ucranianas.
A exploração do
CVE-2020-29574
e
CVE-2020-15069
, por outro lado, foi vinculada a uma campanha de espionagem chinesa monitorada pela Sophos sob o codinome Pacific Rim.
Atualmente, não há relatórios sobre como o
CVE-2024-21413
, também rastreado como MonikerLink pela Check Point, está sendo explorado no mundo real.
Quanto ao
CVE-2022-23748
, a empresa de cibersegurança divulgou no final de 2022 que observou o ator de ameaças ToddyCat explorando uma vulnerabilidade de carregamento lateral de DLL em Audinate Dante Discovery ("mDNSResponder.exe").
Agências do Ramo Executivo Civil Federal (FCEB) são obrigadas a aplicar as atualizações necessárias até 27 de fevereiro de 2025, sob a Diretriz Operacional Vinculante (BOD) 22-01 para se proteger contra ameaças ativas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...