Aktor ancaman telah diamati mengeksploitasi berbagai kelemahan keamanan dalam berbagai produk perangkat lunak, termasuk kemajuan telerik UI untuk ASP.NET AJAX dan menguntungkan Veracore, untuk menjatuhkan cangkang terbalik dan cangkang web, dan mempertahankan akses jarak jauh yang persisten ke sistem yang dikompromikan.
Eksploitasi zero-day cacat keamanan di Veracore telah dikaitkan dengan aktor ancaman yang dikenal sebagai XE Group, kelompok kejahatan dunia maya yang kemungkinan berasal dari Vietnam yang diketahui aktif sejak setidaknya 2010.
“XE Group beralih dari skimming kartu kredit ke pencurian informasi yang ditargetkan, menandai perubahan signifikan dalam prioritas operasional mereka,” kata perusahaan cybersecurity Intezer dalam sebuah laporan yang diterbitkan bekerja sama dengan Solis Security.
“Serangan mereka sekarang menargetkan rantai pasokan di sektor manufaktur dan distribusi, memanfaatkan kerentanan baru dan taktik lanjutan.”
Kerentanan yang dimaksud tercantum di bawah ini –
- CVE-2024-57968 (Skor CVSS: 9.9) – Unggah file yang tidak dibatasi dengan kerentanan tipe berbahaya yang memungkinkan pengguna yang diautentikasi jarak jauh untuk mengunggah file ke folder yang tidak diinginkan (ditetapkan dalam versi Veracode 2024.4.2.1)
- CVE-2025-25181 (Skor CVSS: 5.8) – Kerentanan injeksi SQL yang memungkinkan penyerang jarak jauh untuk menjalankan perintah SQL yang sewenang -wenang (tidak ada tambalan yang tersedia)
Temuan terbaru dari Intezer and Solis Security menunjukkan bahwa kekurangan sedang dirantai untuk menggunakan cangkang web ASPXSPY untuk akses tidak sah ke sistem yang terinfeksi, dalam satu contoh yang memanfaatkan CVE-2025-25181 sejauh awal 2020. Kegiatan eksploitasi ditemukan pada November 2024.
Kerang web dilengkapi dengan kemampuan untuk menyebutkan sistem file, mengekspiltrate file, dan mengompresnya menggunakan alat seperti 7z. Akses juga disalahgunakan untuk menjatuhkan muatan meterpreter yang berupaya terhubung ke server yang dikendalikan aktor (“222.253.102[.]94: 7979 “) melalui soket Windows.
Varian yang diperbarui dari shell web juga menggabungkan berbagai fitur untuk memfasilitasi pemindaian jaringan, eksekusi perintah, dan menjalankan kueri SQL untuk mengekstraksi informasi penting atau memodifikasi data yang ada.
Sementara serangan sebelumnya yang dipasang oleh XE Group telah mempersenjatai kerentanan yang diketahui, yaitu cacat di Telerik UI untuk ASP.NET (CVE-2017-9248 dan CVE-2019-18935, skor CVSS: 9.8), pengembangannya menandai pertama kalinya kru peretasan yang diretas: telah dikaitkan dengan eksploitasi zero-day, menunjukkan peningkatan kecanggihan.
“Kemampuan mereka untuk mempertahankan akses yang terus-menerus ke sistem, seperti yang terlihat dengan reaktivasi shell bertahun-tahun setelah penyebaran awal, menyoroti komitmen kelompok terhadap tujuan jangka panjang,” kata para peneliti Nicole Fishbein, Joakim Kennedy, dan Justin Lentz.
“Dengan menargetkan rantai pasokan di sektor manufaktur dan distribusi, XE Group tidak hanya memaksimalkan dampak operasi mereka tetapi juga menunjukkan pemahaman akut tentang kerentanan sistemik.”
CVE-2019-18935, yang ditandai oleh Inggris dan lembaga pemerintah AS pada tahun 2021 sebagai salah satu kerentanan yang paling dieksploitasi, juga mengalami eksploitasi aktif baru-baru ini bulan lalu untuk memuat cangkang terbalik dan melaksanakan perintah pengintaian tindak lanjut melalui CMD melalui CMD melalui CMD melalui CMD .exe.
“Sementara kerentanan yang sedang berlangsung Telerik UI untuk ASP.Net Ajax berusia beberapa tahun, itu terus menjadi titik masuk yang layak bagi para aktor ancaman,” kata Esentire. “Ini menyoroti pentingnya sistem penambalan, terutama jika mereka akan terpapar ke internet.”
CISA menambahkan 5 kekurangan ke KATALOG KEV
Perkembangan ini terjadi ketika Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) menambahkan lima kelemahan keamanan pada katalog kerentanan yang diketahui dieksploitasi (KEV), berdasarkan bukti eksploitasi aktif.
- CVE-2025-0411 (Skor CVSS: 7.0) – Tanda 7 -zip dari kerentanan bypass web
- CVE-2022-23748 (Skor CVSS: 7.8) – Kerentanan Kontrol Proses Penemuan Dante
- CVE-2024-21413 (Skor CVSS: 9.8) – Microsoft Outlook Kerentanan Validasi Input yang Tidak Benar
- CVE-2020-29574 (Skor CVSS: 9.8) – Kerentanan Cyberoamos (CROS) SQL Injeksi SQL
- CVE-2020-15069 (Skor CVSS: 9.8) – Sophos XG Firewall Buffer Overflow Kerentanan
Pekan lalu, Trend Micro mengungkapkan bahwa pakaian kejahatan dunia maya Rusia sedang mengeksploitasi CVE-2025-0411 untuk mendistribusikan malware Smokeloader sebagai bagian dari kampanye phishing tombak yang menargetkan entitas Ukraina.
Eksploitasi CVE-2020-29574 dan CVE-2020-15069, di sisi lain, telah dikaitkan dengan kampanye spionase Cina yang dilacak oleh Sophos di bawah Lingkar Moniker Pacific.
Saat ini tidak ada laporan tentang bagaimana CVE-2024-21413, juga dilacak sebagai monikerlink oleh check point, sedang dieksploitasi di alam liar. Sedangkan untuk CVE-2022-23748, perusahaan keamanan siber mengungkapkan pada akhir 2022 bahwa mereka mengamati aktor ancaman Toddycat yang memanfaatkan kerentanan pemuatan sisi DLL dalam Dante Discovery (“mdnsresponder.exe”).
Badan-badan Cabang Eksekutif Sipil Federal (FCEB) diamanatkan untuk menerapkan pembaruan yang diperlukan pada 27 Februari 2025, di bawah Binding Operational Directive (BOD) 22-01 untuk melindungi terhadap ancaman aktif.
