Эксперты Cisco Talos зафиксировали серию целенаправленных атак на систему управления активами Cityworks, принадлежащую компании Trimble. Злоумышленники, предположительно связанные с китайской хакерской группировкой, эксплуатируют критическую уязвимость CVE-2025-0994, позволяющую выполнять произвольный код на уязвимых серверах.
Описание
Атаки, получившие кодовое обозначение UAT-6382, демонстрируют высокий уровень профессионализма и системный подход. После успешного проникновения злоумышленники оперативно проводят разведку, используя стандартные системные команды для анализа окружения. Следующим шагом становится установка веб-шеллов AntSword и chinatso/Chopper, обеспечивающих постоянный доступ к компрометированным системам.
Особую опасность представляет использование кастомного Rust-лоадера TetraLoader, созданного с помощью фреймворка MaLoader. Этот инструмент, написанный на упрощенном китайском, позволяет скрытно внедрять вредоносные payloads в легитимные процессы системы. В качестве полезной нагрузки чаще всего выступают известные инструменты для кибершпионажа - Cobalt Strike и VShell, обеспечивающие злоумышленникам полный контроль над зараженными системами.
Анализ тактики и инструментария указывает на китайское происхождение атакующей группы. Многочисленные артефакты, включая китайскоязычные интерфейсы управляющих панелей и сообщения в веб-шеллах, подтверждают эту гипотезу. Основной целью злоумышленников становятся системы, связанные с управлением критической инфраструктурой, что представляет серьезную угрозу национальной безопасности.
Для защиты от подобных атак специалисты рекомендуют немедленно установить все доступные обновления для системы Cityworks, усилить мониторинг подозрительной активности на веб-серверах, особенно в каталогах /inetpub/wwwroot, а также заблокировать известные командные серверы злоумышленников. Особое внимание следует уделить обнаружению аномальных процессов, связанных с работой системных утилит, которые могут быть использованы для скрытного выполнения вредоносного кода.
Индикаторы компрометации
IPv4
- 192.210.239.172
Domains
- cdn.phototagx.com
- lgaircon.xyz
- www.roomako.com
URLs
- http://192.210.239.172:3219/LVLWPH.exe
- http://192.210.239.172:3219/MCUCAT.exe
- http://192.210.239.172:3219/TJPLYT.exe
- http://192.210.239.172:3219/z44.exe
- https://cdn.lgaircon.xyz/jquery-3.3.1.min.js
- https://cdn.phototagx.com/
- https://lgaircon.xyz/owa/OPWiaTU-ZEbuwIAKGPHoQAP006-PTsjBGKQUxZorq2
- https://www.roomako.com/jquery-3.3.1.min.js
SHA256
- 14ed3878b6623c287283a8a80020f68e1cb6bfc37b236f33a95f3a64c4f4611f
- 1c38e3cda8ac6d79d9da40834367697a209c6b07e6b3ab93b3a4f375b161a901
- 1de72c03927bcd2810ce98205ff871ef1ebf4344fba187e126e50caa1e43250b
- 4ffc33bdc8527a2e8cb87e49cdc16c3b1480dfc135e507d552f581a67d1850a9
- C02d50d0eb3974818091b8dd91a8bbb8cdefd94d4568a4aea8e1dcdd8869f738