中国のハッカーが、人気の資産管理システムであるCityworksの脆弱性を悪用して、米国の地方政府機関を標的にしている。
Cisco Talosは、UAT-6382として追跡している脅威アクターが、2025年1月から自治体組織のエンタープライズネットワークへの侵入に成功しているのを観測したと述べた。
初期アクセス後、このグループは偵察を実施し、長期的なアクセスを維持するためにさまざまなWebシェルやカスタムメイドのマルウェアを迅速に展開した。これにより、さらなる攻撃への道が開かれる可能性がある。これには、Cobalt StrikeやVSHellといったツールが含まれる。
また、侵害後に公益事業(ユーティリティ)管理に関連するシステムへ横展開(ピボット)することに明確な関心を示している。
Ciscoは、高い確度でUAT-6382が金銭目的の中国語話者の脅威アクターであると評価している。
これは、このキャンペーンで使用されたツールに中国語で書かれたコードやメッセージが含まれていたためだ。その他の根拠として、用いられた戦術・技術・手順(TTP)や被害者の傾向(ビクトモロジー)が挙げられる。
中国のアクターが政府システムを標的にする方法
研究者が追跡した事例では、UAT-6382は高評価(CVSS 8.6)のCityworks脆弱性CVE-2025-0994を悪用して初期アクセスを獲得した。この欠陥により、認証済みユーザーが顧客のMicrosoft Internet Information Services(IIS)Webサーバーに対してリモートコード実行攻撃を行える可能性がある。
この脆弱性は、CVE-2025-0994を修正するために製品メーカーのTrimbleが2025年1月にリリースした15.8.9より前のすべてのCityworksバージョンに影響する。
悪用後、脅威アクターはサーバーを特定してフィンガープリントするための予備的な偵察を実施した。
これにより「ほぼ直ちに」、侵害されたネットワークへのバックドア侵入を確立するためのWebシェルの展開につながった。これらのWebシェルは、AntSword、chinatso、Behinderの複数の亜種に加え、中国語で書かれたメッセージを含む追加の汎用ファイルアップローダーで構成されていた。
その後UAT-6382は、関心のあるファイルを特定し、容易に持ち出せるよう、Webシェルを展開したディレクトリにそれらを集約(ステージング)した。
このグループはまた、PowerShellを介して侵害されたシステムに複数のバックドアをダウンロードして展開した。
Ciscoは、ペイロードをデコードしてnotepad[.]exeのような無害なプロセスにインジェクトし、実行するためのRustベースのローダーを回収した。Ciscoはこれらのローダーを「TetraLoader」として追跡しており、これは簡体字中国語で書かれた「MaLoader」と呼ばれるマルウェアビルダーを用いて構築されていた。
TetraLoaderが展開する2種類のペイロードが感染システム上で見つかっている。Cobalt StrikeのビーコンとVShellのステージャーで、いずれも攻撃者のコマンド&コントロール(C2)ドメインに接続する。
Cobalt Strikeは正規のペネトレーションテスト用ツールであり、脅威アクターによってしばしば使用され、被害者に永続的なバックドアを提供して、ランサムウェアの展開やサイバー諜報キャンペーンなどのさらなる活動への道を開く。
VShellステージャーは、ファイル管理、任意コマンドの実行、スクリーンショットの取得、感染端末上でのNPSベースのプロキシ実行といった、リモートアクセス型トロイの木馬(RAT)に基づく幅広い機能を実行できる。
Ciscoは、組織が悪用の試行を検知できるよう、ネットワークトラフィックのシグネチャやファイルハッシュを含む技術的な指標を公開した。
Trimble Cityworksのすべての顧客は、最新の製品バージョンへアップグレードするよう強く推奨されている。
翻訳元: https://www.infosecurity-magazine.com/news/chinese-hackers-cityworks-local/
