СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
23.05.2025
#Dev#ИБ#Инфра

Эксплуатация CVE-2025-0994: угроза безопасности Cityworks

Эксплуатация CVE-2025-0994: угроза безопасности Cityworks

Специалисты Cisco Talos зафиксировали активную эксплуатацию уязвимости CVE-2025-0994 — критического бреши удалённого выполнения кода в системе управления активами Cityworks. Этот инцидент вызвал серьёзное беспокойство в сообществе кибербезопасности, что побудило к публикации рекомендаций от CISA и производителя Trimble. Особое внимание привлекает совпадение индикаторов компрометации (Indicators of Compromise, IOCs) в рекомендациях Trimble с теми, что были выявлены при исследовании деятельности злоумышленников Cisco Talos.

Идентификация угрозы и атрибуция атаки

Обнаруженные вторжения получили обозначение UAT-6382 и с высокой степенью уверенности связываются с китайскоязычными киберпреступниками. Характер и методы атаки указывают на целенаправленное вторжение в инфраструктуру, связанное с коммунальными службами и локальными органами власти в США.

  • Использование веб-оболочек AntSword, chinatso и Behinder на IIS-серверах для установления постоянного доступа;
  • Активное внедрение пользовательского вредоносного ПО TetraLoader на базе Rust, разработанного с применением новой платформы MaLoader;
  • Доставка основных полезных нагрузок в виде Cobalt Strike beacons и модуля VShell stager;
  • Использование жёстко запрограммированных серверов C2 с доменами и IP-адресами, что помогает обнаружить и отслеживать инфраструктуру злоумышленников;
  • Использование сообщений на китайском языке в элементах управления и интерфейсах, подтверждающее культурную и языковую принадлежность хакеров.

Технический анализ вредоносного ПО

Основным связующим звеном между этапом проникновения и долгосрочным присутствием в системе выступает загрузчик TetraLoader. Данный загрузчик отличается следующими свойствами:

  • Разработка на языке Rust с использованием продвинутой платформы MaLoader;
  • Декодирование и внедрение полезных данных в безопасные процессы, такие как notepad.exe, что затрудняет обнаружение;
  • Доставка двух типов payload’ов:
    • Cobalt Strike beacons — стандартные, с минимальными кастомизациями, взаимодействующие с C2-доменами cdn.lgaircon.xyz и www.roomako.com;
    • VShell stager — этап, который связывается с фиксированным сервером C2 (192.210.239.172:2219), посылает сигнал и загружает основной имплантат VShell, написанный на GoLang.

Имплантат VShell предоставляет злоумышленникам разнообразный функционал классического троянца удалённого доступа (RAT), включая операции с файлами и выполнение команд в системе жертвы.

Поведение и цели злоумышленников

Анализ поведения UAT-6382 показывает целенаправленную активность на компрометацию систем управления коммунальными услугами и локальных правительственных структур в США с января 2025 года. Использование веб-оболочек для создания и поддержания бекдоров, а также последовательные послания на китайском языке в панели управления вредоносным ПО, свидетельствуют о высокой организации и специфических знаниях злоумышленников.

Эксперты отмечают: «Использование современных средств, таких как TetraLoader и VShell, демонстрирует уровень технической продвинутости хакерской группы и делает её значительной угрозой для критической инфраструктуры».

Рекомендации по защите

В связи с выявлением активной эксплуатации CVE-2025-0994 настоятельно рекомендуется ознакомиться с опубликованными рекомендациями от CISA и Trimble, содержащими подробные индикаторы компрометации и меры по снижению риска. Основные шаги включают:

  • Своевременное применение патчей и обновлений производителя Cityworks;
  • Мониторинг активности на серверных IIS с целью выявления признаков внедрения web shells;
  • Отслеживание сетевого трафика на предмет взаимодействия с известными C2-доменами и IP-адресами;
  • Повышение осведомлённости сотрудников, ответственных за безопасность, о тактиках и методах группы UAT-6382.

Данная ситуация подчёркивает важность комплексного подхода к кибербезопасности, особенно в организациях, задействованных в управлении критической городской инфраструктурой.

Источник: Cisco Talos, Trimble, CISA

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: