【安全资讯】越南黑客组织XE Group持续进行信用卡盗窃活动

引言

“XE Group”是一个疑似来自越南的黑客组织，于2020年初首次被发现，一直在进行信用卡盗窃活动。攻击者使用的基础设施相对有限，主要专注于破坏 IIS 环境，在受影响的网站上部署恶意软件。

简况

此前，XE Group曾对客户站点的 Web 服务器发起攻击。而该组织的最新活动攻击了客户端系统。攻击者使用与“xe[word]”相关的电子邮件地址，并且多年来一直使用相同的自定义名称服务器（ns1.xegroups[.]com 和 ns2.xegroups[.]com）。下图为该组织过去三年中使用的基础设施：

XE Group在攻击活动中使用了名为“XEReverseShell”的恶意软件家族。恶意软件主要是用 .NET 和 AutoIT 编写的。最新的skimmer与去年相比有了细微的改进，包括使用了“.join()”和“.”replace()”来重建混淆的字符串，移除了查找密码的功能，且在脚本中进行了额外的检查，以确保在运行关键功能之前窗口已完成加载。新版本的skimmer可以更有效地获取受害者输入到加载恶意 JavaScript 页面上的任何数据。

攻击者入侵的网站在受欢迎程度以及性质上有很大差异，受影响网站的多样性表明攻击者没有明确的目标策略，攻击者发起的攻击不具有针对性。被入侵的网站包括以下行业：

• 旅行
• 餐厅
• 艺术与文化
• 非营利组织

研究人员表示，XE Group 很可能来自越南，因为用于命令和控制服务器的几个域名是由位于越南的个人注册的。且在 VirusTotal 中发现的一些恶意软件文件似乎是由越南用户上传的。这很可能是攻击者上传的，目的是在实际环境中部署恶意软件之前测试其恶意软件的检测率。

总结

攻击者的一些账户信息可以追溯到 2013 年，这表明攻击者可能已经发起类似攻击长达八年之久。研究人在论坛上发现了提供被盗信用卡信息的账户，这表明攻击者倾向于通过出售信用卡达到经济获益的目的。