СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Новости
Артем
27 мая
#Dev#ИБ

Китайские хакеры атакуют американские ведомства, проникая через уязвимости в ПО управления инфраструктурой

Китайские хакеры атакуют американские ведомства, проникая через уязвимости в ПО управления инфраструктурой

Изображение: recraft

Специалисты Cisco Talos зафиксировали серию попыток проникновения в сети местных администраций США, за которыми стоит хакерская группа, говорящая на китайском языке и отслеживаемая под обозначением UAT-6382. По информации экспертов, атакующие использовали уже устранённую уязвимость CVE-2025-0944 в программной платформе Trimble Cityworks, предназначенной для работы с геоинформационными системами.

Как сообщили Эшир Малхотра и Брэндон Уайт из Cisco Talos, злоумышленники, после проникновения в системы, моментально активировали набор вредоносных компонентов. В частности, применялись веб-оболочки и специально написанные фрагменты кода, которые позволяли хакерам сохранять присутствие в сети. Отмечено, что особое внимание было уделено системам, связанным с управлением коммунальными службами.

Сами атаки стартовали в январе 2025 года и были нацелены на ИТ-инфраструктуру муниципальных органов. Уязвимость CVE-2025-0944, получившая оценку 8,6 по шкале CVSS, возникала при десериализации недостоверных данных в Cityworks. Этот баг предоставлял возможность удалённого запуска кода и, несмотря на выпуск патча, продолжал использоваться до момента включения в список активных угроз от Агентства по кибербезопасности и защите инфраструктуры США (CISA) в феврале 2025 года.

Trimble, разработчик программного продукта, позже опубликовал технические данные, в том числе индикаторы компрометации. На их основании стало ясно, что злоумышленники загружали модуль, написанный на Rust, выполнявший функцию загрузчика и запуск Cobalt Strike — инструмента для моделирования атак, часто используемого хакерами. Также применялся VShell — программа удалённого доступа, разработанная на языке Go.

По данным Cisco Talos, загрузчик на базе Rust, получивший внутреннее название TetraLoader, был собран с помощью MaLoader — китайской утилиты для разработки вредоносного ПО, опубликованной в конце 2024 года на GitHub. Обнаружение этого инструмента указывает на всё более широкое применение полуоткрытых сред программирования для создания модулей взлома, ориентированных на длительное скрытое присутствие в корпоративных сетях.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: