Trimble не вывезла — китайские хакеры устроили экскурсию по городским серверам
NewsMakerБэкдор даже не прятался — просто никому не пришло в голову его искать.
Китайская киберпреступная группировка, обозначенная как UAT-6382, была замечена в целенаправленной атаке на уязвимость в программном обеспечении Trimble Cityworks, которая позволяла удалённое выполнение произвольного кода. Уязвимость CVE-2025-0944 , уже закрытая на момент публикации, использовалась злоумышленниками для установки Cobalt Strike и вредоносного ПО VShell, обеспечивающего устойчивый доступ к скомпрометированным системам.
По информации от аналитиков Cisco Talos, атаки стартовали в январе 2025 года и были направлены на ИТ-инфраструктуру муниципалитетов в США. Исходным вектором послужила критическая ошибка десериализации недоверенных данных (CVSS 8.6) в платформе Cityworks, предназначенной для управления активами и геоинформационными данными. После получения доступа UAT-6382 сразу же приступили к разведке сетей и использованию нескольких вредоносных компонентов.
Специалисты отмечают, что сразу после эксплуатации уязвимости хакеры установили веб-шеллы, среди которых AntSword, chinatso/Chopper и Behinder — инструменты, часто используемые китайскими группировками. Их целью было закрепление в системе и удобный канал для дальнейшей загрузки инструментов и вывода данных.
UAT-6382 активно сканировали файловую структуру на серверах и выгружали интересующие их файлы в каталоги, где ранее уже разместили свои шеллы. Одновременно происходило развёртывание бэкдоров с помощью PowerShell, обеспечивавших им дальнейший скрытый доступ.
Один из основных компонентов атаки — загрузчик TetraLoader, разработанный на базе фреймворка MaLoader, написанного на упрощённом китайском языке и находящегося в открытом доступе. Он представляет собой вредоносный загрузчик на языке Rust, обеспечивающий доставку Cobalt Strike, а также написанного на Go удалённого средства управления VShell. Такой выбор инструментов говорит о стремлении к долговременному присутствию и глубокой интеграции в систему жертвы.
Агентство CISA внесло CVE-2025-0944 в официальный каталог эксплуатируемых уязвимостей KEV в феврале 2025 года, подчеркнув серьёзность угрозы и актуальность установки обновлений. Trimble опубликовала индикаторы компрометации, подтверждающие использование уязвимости в реальных атаках.
Целью киберпреступников из UAT-6382, по данным Cisco Talos, были не просто отдельные серверы, а прежде всего системы, связанные с управлением коммунальной и городской инфраструктурой, что указывает на высокий уровень подготовки и понимание важности атакуемых объектов.
Китайская киберпреступная группировка, обозначенная как UAT-6382, была замечена в целенаправленной атаке на уязвимость в программном обеспечении Trimble Cityworks, которая позволяла удалённое выполнение произвольного кода. Уязвимость CVE-2025-0944 , уже закрытая на момент публикации, использовалась злоумышленниками для установки Cobalt Strike и вредоносного ПО VShell, обеспечивающего устойчивый доступ к скомпрометированным системам.
По информации от аналитиков Cisco Talos, атаки стартовали в январе 2025 года и были направлены на ИТ-инфраструктуру муниципалитетов в США. Исходным вектором послужила критическая ошибка десериализации недоверенных данных (CVSS 8.6) в платформе Cityworks, предназначенной для управления активами и геоинформационными данными. После получения доступа UAT-6382 сразу же приступили к разведке сетей и использованию нескольких вредоносных компонентов.
Специалисты отмечают, что сразу после эксплуатации уязвимости хакеры установили веб-шеллы, среди которых AntSword, chinatso/Chopper и Behinder — инструменты, часто используемые китайскими группировками. Их целью было закрепление в системе и удобный канал для дальнейшей загрузки инструментов и вывода данных.
UAT-6382 активно сканировали файловую структуру на серверах и выгружали интересующие их файлы в каталоги, где ранее уже разместили свои шеллы. Одновременно происходило развёртывание бэкдоров с помощью PowerShell, обеспечивавших им дальнейший скрытый доступ.
Один из основных компонентов атаки — загрузчик TetraLoader, разработанный на базе фреймворка MaLoader, написанного на упрощённом китайском языке и находящегося в открытом доступе. Он представляет собой вредоносный загрузчик на языке Rust, обеспечивающий доставку Cobalt Strike, а также написанного на Go удалённого средства управления VShell. Такой выбор инструментов говорит о стремлении к долговременному присутствию и глубокой интеграции в систему жертвы.
Агентство CISA внесло CVE-2025-0944 в официальный каталог эксплуатируемых уязвимостей KEV в феврале 2025 года, подчеркнув серьёзность угрозы и актуальность установки обновлений. Trimble опубликовала индикаторы компрометации, подтверждающие использование уязвимости в реальных атаках.
Целью киберпреступников из UAT-6382, по данным Cisco Talos, были не просто отдельные серверы, а прежде всего системы, связанные с управлением коммунальной и городской инфраструктурой, что указывает на высокий уровень подготовки и понимание важности атакуемых объектов.