Se ha observado que los actores de amenazas explotan m\u00faltiples fallas de seguridad en varios productos de software, incluida la interfaz de usuario de Progress Telerik para ASP.NET AJAX y Advantive Veracore, para soltar capas inversas y conchas web, y mantener un acceso remoto persistente a los sistemas comprometidos.<\/p>\n
La explotaci\u00f3n del d\u00eda cero de fallas de seguridad en Veracore se ha atribuido a un actor de amenaza conocido como XE Group, un grupo de delitos cibern\u00e9ticos probables de origen vietnamita que se sabe que est\u00e1 activo desde al menos 2010.<\/p>\n
“El grupo XE hizo la transici\u00f3n de la tarjeta de cr\u00e9dito al robo de informaci\u00f3n dirigida, marcando un cambio significativo en sus prioridades operativas”, la firma de seguridad cibern\u00e9tica Intezer dicho<\/a> En un informe publicado en colaboraci\u00f3n con Solis Security.<\/p>\n “Sus ataques ahora dirigen las cadenas de suministro en los sectores de fabricaci\u00f3n y distribuci\u00f3n, aprovechando nuevas vulnerabilidades y t\u00e1cticas avanzadas”.<\/p>\n Las vulnerabilidades en cuesti\u00f3n se enumeran a continuaci\u00f3n –<\/p>\n Los \u00faltimos hallazgos de Intezer y Solis Security muestran que las deficiencias est\u00e1n siendo encadenadas para implementar Aspxspy<\/a> Conchas web para acceso no autorizado a sistemas infectados, en una instancia aprovechando CVE-2025-25181 a principios de 2020. La actividad de explotaci\u00f3n se descubri\u00f3 en noviembre de 2024.<\/p>\n Los shells web vienen equipados con capacidades para enumerar el sistema de archivos, exfiltrados los archivos y comprimirlos utilizando herramientas como 7Z. El acceso tambi\u00e9n est\u00e1 abusado de soltar una carga \u00fatil de meterpreter que intente conectarse a un servidor controlado por el actor (“222.253.102[.]94: 7979 “) a trav\u00e9s de un enchufe de Windows.<\/p>\n La variante actualizada del shell web tambi\u00e9n incorpora una variedad de caracter\u00edsticas para facilitar el escaneo de red, la ejecuci\u00f3n de comandos y la ejecuci\u00f3n de consultas SQL para extraer informaci\u00f3n cr\u00edtica o modificar los datos existentes.<\/p>\n Mientras que los ataques anteriores montados por Xe Group han armado vulnerabilidades conocidas, a saber, fallas en la interfaz de usuario de Telerik para ASP.NET (CVE-2017-9248<\/a> y CVE-2019-18935<\/a>Puntajes CVSS: 9.8), el desarrollo marca la primera vez que la tripulaci\u00f3n de pirater\u00eda se atribuye a la explotaci\u00f3n del d\u00eda cero, lo que indica un aumento en la sofisticaci\u00f3n.<\/p>\n “Su capacidad para mantener el acceso persistente a los sistemas, como se ve con la reactivaci\u00f3n de un shell web a\u00f1os despu\u00e9s del despliegue inicial, destaca el compromiso del grupo con los objetivos a largo plazo”, dijeron los investigadores Nicole Fishbein, Joakim Kennedy y Justin Lentz.<\/p>\n “Al dirigirse a las cadenas de suministro en los sectores de fabricaci\u00f3n y distribuci\u00f3n, el grupo XE no solo maximiza el impacto de sus operaciones, sino que tambi\u00e9n demuestra una comprensi\u00f3n aguda de las vulnerabilidades sist\u00e9micas”.<\/p>\n CVE-2019-18935, que fue marcado por las agencias gubernamentales del Reino Unido y EE. UU. En 2021 como una de las vulnerabilidades m\u00e1s explotadas, tambi\u00e9n ha sido objeto de una explotaci\u00f3n activa tan recientemente como el mes pasado para cargar un shell inverso y ejecutar comandos de reconocimiento de seguimiento a trav\u00e9s de CMD .exe.<\/p>\n “Si bien la vulnerabilidad en progreso de la interfaz de usuario de Telerik para ASP.NET Ajax tiene varios a\u00f1os, sigue siendo un punto de entrada viable para los actores de amenaza”, esentire dicho<\/a>. “Esto resalta la importancia de los sistemas de parcheo, especialmente si van a estar expuestos a Internet”.<\/p>\n El desarrollo se produce como la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregado<\/a> Cinco defectos de seguridad a sus vulnerabilidades explotadas conocidas (Kev<\/a>) cat\u00e1logo, basado en evidencia de explotaci\u00f3n activa.<\/p>\n La semana pasada, Trend Micro revel\u00f3 que los trajes de ciberdr\u00edmes rusos est\u00e1n explotando CVE-2025-0411 para distribuir el malware Smokeloader como parte de campa\u00f1as de phishing de lanza dirigidas a entidades ucranianas.<\/p>\n La explotaci\u00f3n de CVE-2020-29574 y CVE-2020-15069, por otro lado, ha sido vinculada a una campa\u00f1a de espionaje china rastreada por Sophos bajo el moniker Pacific Rim.<\/p>\n Actualmente no hay informes sobre c\u00f3mo CVE-2024-21413, tambi\u00e9n rastreado como MonikerLink por Check Point, est\u00e1 siendo explotado en la naturaleza. En cuanto a CVE-2022-23748, la compa\u00f1\u00eda de seguridad cibern\u00e9tica revelado<\/a> A finales de 2022, observ\u00f3 al actor de amenaza de Toddycat que aprovecha una vulnerabilidad de carga lateral de DLL en Audinate Descubrimiento de Dante<\/a> (“mdnsesponder.exe”).<\/p>\n Rama ejecutiva civil federal (Fceb<\/a>) Las agencias tienen el mandato de aplicar las actualizaciones necesarias antes del 27 de febrero de 2025, bajo la Directiva Operativa vinculante (BOD) 22-01 para salvaguardar contra las amenazas activas.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/Explota-el-grupo-de-hackers-Xe-Veracore-cero-dia-para-implementar.png\")
<\/a><\/center><\/div>\n\n
CISA agrega 5 fallas al cat\u00e1logo KEV<\/h2>\n
\n
<\/a><\/center><\/div>\n