<div id="post_message_793193">

Аналитики Cisco Talos <a href="https://blog.talosintelligence.com/uat-6382-exploits-cityworks-vulnerability/" target="_blank">предупредили</a>, что китайские хакеры использовали уязвимость нулевого дня в ГИС-программе Trimble Cityworks для взлома местных органов власти на территории США.<br/>
<br/>
Trimble Cityworks — это ГИС-ориентированная система управления жизненным циклом активов, предназначенная для управления и обслуживания инфраструктуры местными властями, коммунальными службами, аэропортами и общественными предприятиями.<br/>
<br/>
По информации исследователей, хакерская группа UAT-6382 использовала загрузчик малвари, написанный на Rust, для установки на уязвимые машины маяков Cobalt Strike и вредоносного ПО VSHell. Эта малварь предназначена для создания бэкдоров во взломанных системах с целью получения постоянного доступа, а также веб-шеллов и кастомных вредоносных инструментов, написанных на китайском языке.<br/>
<br/>
Атаки на Trimble Cityworks начались в январе 2025 года, когда Cisco Talos заметила подозрительную активность в сетях взломанных организаций.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«В январе 2025 года, когда произошла первая эксплуатация, Talos обнаружила проникновения в корпоративные сети местных органов власти в США. Получив доступ, UAT-6382 проявляли явный интерес к системам, связанным с управлением коммунальным хозяйством, — пишут исследователи. — Веб-шеллы, включая AntSword, chinatso/Chopper и программы загрузки файлов, содержали сообщения, написанные на китайском языке. Кроме того, кастомный инструмент TetraLoader, созданный с помощью билдера MaLoader, также содержит упрощенный китайский».</font>
</td>
</tr>
</table>
</div><img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/513220/maloader.jpg"/><br/>
<br/>
В этих атаках использовалась уязвимость<a href="https://nvd.nist.gov/vuln/detail/CVE-2025-0994" target="_blank"> CVE-2025-0994</a>, позволяющая аутентифицированным злоумышленникам удаленно выполнять код на серверах Microsoft Internet Information Services (IIS).<br/>
<br/>
В начале февраля 2025 года компания Trimble выпустила патчи для исправления этой проблемы. Уже тогда разработчики <a href="https://learn.assetlifecycle.trimble.com/i/1532182-cityworks-customer-communication-2025-02-06-docx/0" target="_blank">сообщали</a>, что им известно о злоумышленниках, пытающихся использовать CVE-2025-0994 с целью взлома установок Cityworks.<br/>
<br/>
Также в феврале Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило CVE-2025-0994 в каталог активно эксплуатируемых уязвимостей и предписало американским федеральным ведомствам установить патчи в течение трех недель.<br/>
<br/>
Чуть позже CISA подготовило <a href="https://www.cisa.gov/news-events/alerts/2025/02/07/cisa-adds-one-known-exploited-vulnerability-catalog" target="_blank">бюллетень безопасности</a>, в котором предупредило, что госучреждения и организации, работающие в сфере водоснабжения и водоотведения, энергетики, транспортных систем, должны «немедленно установить обновленную версию» Trimble Cityworks.<br/>
<br/>
<a href="https://xakep.ru/2025/05/23/trimble-cityworks-attacks/" target="_blank">@ xakep.ru</a>
</div>