XE组织已从信用卡盗刷转向利用零日漏洞。

Intezer和Solis Security的研究人员最近的一项调查揭示了XE组织近期行动的细节。XE组织至少从2013年开始活跃，是一个专注于信用卡盗刷和通过供应链攻击窃取密码的网络犯罪集团。Intezer发布的分析报告指出：“XE组织已从信用卡盗刷转向有针对性的信息窃取，这标志着其行动重点的重大转变。他们的攻击现在针对制造和分销领域的供应链，利用新的漏洞和高级战术。XE组织最近的活动展示了其利用零日漏洞的进展，预示着向更高级和更有影响力的行动的战略转变。这种演变反映了其致力于采用尖端技术和持续的攻击策略来实现其目标。”

该组织被发现利用Advantive VeraCore中的零日漏洞（分别追踪为CVE-2024-57968（CVSS评分9.9）和CVE-2025-25181（CVSS评分5.8））安装反向shell、webshell并保持持久性。攻击中使用的webshell可以浏览文件系统、窃取和压缩文件、部署Meterpreter有效负载、执行网络扫描、执行命令和运行SQL查询。CVE-2024-57968允许远程认证用户将文件上传到意外文件夹，而CVE-2025-25181是一个SQL注入漏洞，允许远程SQL执行（尚无补丁）。该集团还被观察到利用Telerik UI中的漏洞，例如CVE-2017-9248和CVE-2019-18935。

XE组织采用先进的战术，包括使用恶意JavaScript的供应链攻击、自定义ASPXSPY webshell以及伪装成PNG文件的混淆可执行文件。2024年11月5日，Intezer发现了一起归因于XE组织的攻击，EDR通过托管VeraCore仓库管理系统软件的IIS服务器上的webshell检测到攻击后的活动。研究人员发现威胁行为者窃取了配置文件，访问了远程系统，并使用混淆的PowerShell运行RAT，但好消息是EDR减轻了大多数行动。

报告总结道：“他们能够持续访问系统，正如在初始部署数年后webshell重新激活所看到的那样，这突出了该集团对长期目标的承诺。”

该报告还提供了入侵指标（IoC）。“通过将目标瞄准制造和分销领域的供应链，XE组织不仅最大限度地提高了其行动的影响，而且还展示了对系统漏洞的敏锐理解。本博文详细介绍了其方法的技术复杂性，提供了对其高级战术、他们利用的漏洞（CVE-2024-57968、CVE-2025-25181）以及其攻击的持久性的宝贵见解。了解这些方面对于旨在领先于这个不断发展的威胁行为者的防御者至关重要。”

原文始发于微信公众号（黑猫安全）：XE组织已从信用卡盗刷转向利用零日漏洞。