中国語を話す脅威アクターUAT-6382が、Trimble Cityworksの現在は修正済みのリモートコード実行脆弱性を悪用し、Cobalt StrikeとVShellを配信したことが確認されています。
“UAT-6382はCVE-2025-0944を成功裏に悪用し、偵察を行い、長期的なアクセスを維持するためにさまざまなウェブシェルやカスタムマルウェアを迅速に展開しました”と、Cisco Talosの研究者Asheer MalhotraとBrandon Whiteは今日発表された分析で述べています。”アクセスを得ると、UAT-6382はユーティリティ管理に関連するシステムへの転換に明確な関心を示しました。”
ネットワークセキュリティ会社は、2025年1月から米国の地方自治体の企業ネットワークを標的とした攻撃を観察したと述べています。
CVE-2025-0944(CVSSスコア: 8.6)は、リモートコード実行を可能にするGIS中心の資産管理ソフトウェアに影響を与える信頼されていないデータの逆シリアル化脆弱性を指します。この脆弱性は修正済みで、2025年2月に米国サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)によって既知の悪用脆弱性(KEV)カタログに追加されました。
Trimbleによって公開された侵害の指標(IoC)によると、この脆弱性は、感染したシステムへの長期的なアクセスを維持するためにCobalt Strikeを起動するRustベースのローダーと、VShellというGoベースのリモートアクセスツールを配信するために悪用されています。
RustベースのローダーをTetraLoaderとして追跡しているCisco Talosは、これは簡体字中国語で書かれた公開されているマルウェア構築フレームワークであるMaLoaderを使用して構築されていると述べています。
脆弱なCityworksアプリケーションの悪用が成功すると、脅威アクターは予備的な偵察を行い、サーバーを特定してフィンガープリントし、その後、AntSword、chinatso/Chopper、およびBehinderのようなウェブシェルを展開します。これらは中国のハッカーグループによって広く使用されています。
“UAT-6382は、興味のあるサーバー上の複数のディレクトリを列挙して、彼らにとって興味のあるファイルを特定し、ウェブシェルを展開したディレクトリにそれらを配置して容易にデータを流出させました”と研究者たちは述べています。”UAT-6382は、PowerShellを介して侵害されたシステムに複数のバックドアをダウンロードして展開しました。”
翻訳元: https://thehackernews.com/2025/05/chinese-hackers-exploit-trimble.html