Уязвимость CVE-2025-0994 в программном обеспечении Trimble Cityworks позволяет аутентифицированным злоумышленникам удаленно выполнить код на веб-сервере Microsoft IIS.
Описание
Уязвимостью затронуты версии Cityworks до 15.8.9 и Cityworks with Office Companion до 23.10. Уязвимость была использована для доставки вредоносных загрузчиков Rust, способных загрузить в память VShell и Cobalt Strike. Также были обнаружены обфусцированные JavaScript-файлы, вредоносные исполняемые файлы и файлы, маскирующиеся под легитимные службы. Вредоносные файлы, вероятно, были загружены с C2-серверов Cobalt Strike, контролируемых злоумышленниками. Инфраструктура хранения была связана с IP-адресами 192.210.239.172:3219 и 192.210.239.172:4219, которые считаются C2-серверами Cobalt Strike. На Shodan было обнаружено 111 открытых экземпляров уязвимого Cityworks, большинство из которых находятся в США и имеют домены .gov.
Indicators of Compromise
IPv4
- 149.112.117.49
- 192.210.137.81
- 192.210.183.118
- 23.247.136.238
- 31.59.70.11
- 31.59.70.13
IPv4 Port Combinations
- 192.210.239.172:3219
- 192.210.239.172:4219
Domains
- cdn.phototagx.com
- ifode.xyz
URLs
- https://192.210.239.172/messages/73KWf-o0-s0hxVCDJp1sfAHRcgdm7
- https://cdn.lgaircon.xyz:443/jquery-3.3.1.min.js
SHA256
- 04dc3a16e1e2b4924943805a1cea5e402c4f2304c717ea21fdf43274b8c34a84
- 14a072113baa0a1e1e2b6044068c7bc972ae5e541a0aec06577b0d6663140079
- 151a71c43e63db802d41d5d715aa98eb1b236e0a6441076a8d30fd93990416b4
- 1de72c03927bcd2810ce98205ff871ef1ebf4344fba187e126e50caa1e43250b
- 4b7561e27c87a1895446d7f2b83e2d9fcf71e6d6e8bc99d44818dc39a6ff99d5
- 4ffc33bdc8527a2e8cb87e49cdc16c3b1480dfc135e507d552f581a67d1850a9
- 883d849b94238c26c57c0595ccb95b8c356628887b9a3628bf56e726332af925
- 8a6c735f3608719ec9f46d9c6c5fc196db8c97065957c218b98733a491edd899
- f09b51b759dfe7de06fa724bd89592f5b8eae57053d5fb4891e40f24055103fb
