2024/02/05 HelpNetCecurity — 在庫管理と注文処理で人気のソリューション VeraCore に存在する、ゼロデイ脆弱性 CVE-2025-25181/CVE-2024-57968 が、サイバー犯罪集団 XE Group により秘密裏に悪用されている。この XE Group は、製造業と流通業をターゲットにして、10年以上にわたって活動していると、Intezer と Solis Security の研究者たちは指摘している。
Intezer の研究者である Nicole Fishbein/Joakim Kennedy/Justin Lentz は、「ある事例では、XE Group は 2020年の時点で被害者組織を侵害した後の、4年以上にわたってエンドポイントへの永続的なアクセスを維持したことが判明している」と述べている。
XE Group とは?
XE Group は、ベトナム由来と考えられている。インターネット上に提供される Web サービスやプラットフォームの既知の脆弱性を悪用した後に、取得したアクセスを悪用することで、クレジットカード・スキマーやパスワード窃盗マルウェアを展開することで知られている。
また、このグループは、偽の Web サイトを作成してユーザーを騙し、そこで窃取した個人情報やデータを、ダークウェブで販売することでも知られている。
研究者たちは、「このグループはカスタマイズされた ASPXSpy Web シェルを利用しており、それにより不正なサーバ・アクセスを提供しているが、その通信は “XeThanh|XeGroups” などの固有の base64 エンコード文字列により認証されている。この難読化の手法には、PNG ファイルに偽装する実行ファイルもある。この種のファイルが実行されると、”xegroups[.]com” などのドメインと通信する、リバースシェルが確立される」と指摘している。
彼らは、「2010年には、電子メールの生成を自動化し、盗み出したクレジットカード・データを検証するための AutoIT スクリプトを開発している。さらに、2013年ころには、グローバルな POS システムをターゲットにした、”Snipr” というクレデンシャル ・スタッフィング・ツールキットを作成している」と付け加えている。
これらのサイバー攻撃者について、最も興味深いところは、XE Group の名前と、いくつかの仮の名前を、ドメイン/変数名/ユーザー・エージェントや、各種のアカウント (Mail/GitHub/SNS) で、継続して使用している点だ。つまり、身元を隠すことや、活動の帰属を明らかにされることに、あまり関心がないようだ。
VeraCore の CVE-2025-25181/CVE-2024-57968 を悪用
研究者たちが 2024年11月初旬に発見したのは、Web シェルから発生したエクスプロイト後のアクティビティと、VeraCore のソフトウェアをホストしている被害者の IIS サーバが侵害されたことだ。
Intezer の研究者たちは、「調査の結果として、Solis Security が特定したのは、システムにアクセスした後に脅威アクターが利用した、いくつかの独自の手法である。そこに含まれるものとしては、Web アプリ・コンフィグ・ファイルの流出/リモート・システムへのアクセス試行/難読化された PowerShell コマンドの使用と RAT の実行/洗練されたシェルコードのメモリへのロードなどがある」と述べている。
その後の調査で、サーバへの最初の侵害は 2020年1月であることが判明した。その時点で攻撃者は、VeraCode アプリに存在する SQL インジェクションの脆弱性 CVE-2025-25181 を悪用して有効な資格情報を取得し、その資格情報を用いて認証を通過した後に、VeraCode アプリ内のアップロード検証の脆弱性 CVE-2024-57968 を悪用して 、Web シェルをアップロードしていた。
そして、2023 年に戻ってきた攻撃者は、新しい Web シェルを用いて Web アプリからコンフィグ・ファイルを取得し、アプリのファイル・ディレクトリを参照した。そして 2024年11月に、新しい ASPXSpy Web シェルの亜種を、別のディレクトリにアップロードした後に、Solis Security により特定されたアクションの実行を試みた。この Web シェルにより、ネットワークとデータベースの偵察と操作および、ファイルと重要な情報の流出を達成したという。
Intezer の研究者たちは、「XE Group の手口が、クレジットカード・スキミングからゼロデイ脆弱性の悪用へと進化したことで、その適応力の高度化が強調される。最初の展開から数年を経た後に、Web シェルが再アクティブ化されたことで分かるように、システムへの永続的なアクセスを維持する能力が、このグループの長期的な目標への取り組みを浮き彫りにしている」と結論付けている。
なお、アップロードに対する不適切な検証の脆弱性 CVE-2024-57968 は、2024 年11月の時点で、VeraCore メーカーである Advantive により修正され、脆弱なアップロード機能は一時的に無効化された。ただし、現時点においても、脆弱性 CVE-2025-25181 のパッチに関する情報は公開されていない。
ベトナムの XE Group による、VeraCore の脆弱性の悪用が確認されました。ご利用のチームは、ご注意ください。このブログでは初登場の Veracodeなので、Wikipedia で調べたところ、「Veracode は、マサチューセッツ州バーリントンに拠点を置くアプリケーション・セキュリティ企業である。2006年に設立され、アプリケーション分析を開発パイプラインに統合する SaaS アプリケーション・セキュリティを提供している。同社は、世界で 2,500社以上の顧客にサービスを提供しており、2021年2月現在、25兆行以上のコードを評価している」と解説されていました。よろしければ、カテゴリ APT も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.