XE グループ活動の検出: クレジットカードスキミングから CVE-2024-57968 および CVE-2025-25181 VeraCore ゼロデイ脆弱性の悪用まで

XEグループは、ベトナム関連のハッキング集団で、10年以上にわたってサイバー脅威の領域で活動しており、VeraCoreのいくつかの ゼロデイ 脆弱性を悪用したと考えられています。最新のキャンペーンでは、加害者はCVE-2024-57968およびCVE-2025-25181として追跡されているVeraCoreの欠陥を武器化してリバースシェルやウェブシェルを展開し、ターゲットとしたインスタンスへのステルスなリモートアクセスを確保し、グループの攻撃作戦の進化を示しています。

XEグループ攻撃を検出 

重大な 脆弱性の活発な悪用が2025年初頭から確認され始め たことで、脅威者はますます新たなエクスプロイトを使用して興味のあるターゲットを侵害しています。これらの加害者の中で、XEグループはVeraCoreゼロデイ（CVE-2024-57968、CVE-2025-25181）を活用して最近のキャンペーンで注目されています。

可能な侵入を最早期段階で見つけるために、 SOC Primeプラットフォーム は、XEグループの最新攻撃に対応する一連のSigmaルールを提供し、先進の脅威検出とハンティングを可能にする完全な製品スイートでサポートされています。このボタンを押すだけで、 検出探索 を即座に行い、専用のコンテンツスタックにアクセスできます。 

検出探索

これらのルールは複数のSIEM、EDR、およびデータレイクソリューションと互換性があり、脅威の調査を効率化するためにMITRE ATT&CKフレームワークにマッピングされています。さらに、各ルールには CTI 参考文献、攻撃のタイムライン、トリアージの推奨事項、監査構成などの幅広いメタデータが添付されています。 

また、セキュリティ専門家は、Intezerの 分析 で提供されるIOCをシームレスにハンティングできます。SOC Primeの Uncoder AI を利用すれば、カスタムIOCベースのクエリを数秒で作成し、選択したSIEMまたはEDR環境で自動的に使用することができます。以前は法人顧客向けにしか提供されていませんでしたが、現在では個人研究者もUncoder AIをフル機能で利用可能です。詳しくは こちら.

XEグループ活動の分析

IntezerとSolis Securityによる調査 は、ウェブシェルとマルウェア配布を標的とすることで悪名高い、ベトナム起源と信じられる高度なハッキング集団XEグループの最新活動について洞察を得ました。XEグループは、協調されたインフラストラクチャに支えられた高度な手法を採用しています。彼らは主に サプライチェーン 攻撃でクレジットカードデータの窃盗を専門としており、悪意のあるJavaScriptを挿入した攻撃、無許可アクセスのためにカスタマイズされたASPXSPYウェブシェル、PNGファイルに偽装した実行ファイルを使用してリバースシェルを作成しています。 

2023年春、CISAは、様々なアメリカの州所有IISサーバでのProgress Telerik脆弱性の悪用に関するアドバイザリを発表しました。この警告は、XEグループを含むいくつかのアクターが偵察とスキャン活動を実行し、 CVE-2019-18935 をエージェンシーのTelerik UI for ASP.NET AJAXを実行するIISサーバで武器化しようとしたことを示しています。

2024年には、脅威者はサプライチェーン攻撃に焦点を移し、進化した手法で新たなCVEを悪用しました。XEグループは最近VeraCoreの二つのゼロデイ、CVE-2024-57968とCVE-2025-25181を武器化し、持続可能な無許可アクセスを許可するウェブシェルを展開しました。

CVE-2024-57968、CVSSスコア9.9の重大なアップロード検証の欠陥は、2024.4.2.1以前のバージョンのVeraCoreに影響を及ぼし、加害者がファイルを意図しないディレクトリにアップロードすることを可能にすることで、ウェブブラウジングを通じて他のユーザーがアクセスできるようにする可能性があります。 CVE-2025-25181 （CVSSスコア5.8）は、Advantive VeraCoreバージョン2025.1.0までのtimeoutWarning.aspにおけるSQLインジェクションの問題であり、リモートハッカーがPmSess1パラメーターを通じて任意のSQLコマンドを実行できるようにします。

最新のXEグループによる悪意のある戦術は短期間のキャンペーンを超えて拡大します。例えば、2020年に組織に侵入し、長年にわたり持続性を維持し、2024年に以前にインストールされたウェブシェルを再利用したことが明らかになりました。これは、彼らの計画的で隠密な攻撃戦略を強調しています。

XEグループのゼロデイエクスプロイトへの移行は、脅威者の手法の洗練と適応力の向上を示し、迅速かつ積極的な防御戦略が求められます。これにより、 集団サイバー防御のためのSOC Primeプラットフォームに依存することで、組織は常に進化する脅威者、増大する脅威、および拡大する攻撃面に先んじて対応でき、強固なサイバーセキュリティ姿勢を構築できます。