Οι κινεζικοί χάκερς έχουν εκμεταλλευτεί μια τώρα-patched Trimble Cityworks μηδενική ημέρα για να παραβιάσουν πολλά τοπικά διοικητικά όργανα στις Ηνωμένες Πολιτείες.
Το Trimble CityWorks είναι ένα λογισμικό διαχείρισης περιουσιακών στοιχείων και διαχείρισης εργασιακών παραγγελιών που χρησιμοποιείται κυρίως από τοπικές κυβερνήσεις, επιχειρήσεις κοινής ωφέλειας και οργανισμούς δημόσιων έργων και έχει σχεδιαστεί για να βοηθήσει τους οργανισμούς υποδομής και τους δήμους να διαχειρίζονται δημόσια περιουσιακά στοιχεία, να χειρίζονται την άδεια και την αδειοδότηση και να επεξεργαστούν τις παραγγελίες εργασίας.
Η ομάδα hacking (UAT-6382) πίσω από αυτή την εκστρατεία χρησιμοποίησε έναν φορτωτή κακόβουλου λογισμικού με βάση τη σκουριά για να αναπτύξει τους Beacons Cobalt Strike και το κακόβουλο λογισμικό VSHELL που σχεδιάστηκε σε συστήματα που συμβιβάζονται με backdoor και να παρέχουν μακροπρόθεσμη επίμονη πρόσβαση, καθώς και κελύφη ιστού και προσαρμοσμένα κακόβουλα εργαλεία γραμμένα στα κινέζικα.
Αυτές οι επιθέσεις ξεκίνησαν τον Ιανουάριο του 2025, όταν ο Cisco Talos παρατήρησε τα πρώτα σημάδια της δραστηριότητας αναγνώρισης στα δίκτυα των παραβιασμένων οργανισμών.
“Ο Τάλος βρήκε εισβολές σε επιχειρηματικά δίκτυα τοπικών διοικητικών οργάνων στις Ηνωμένες Πολιτείες (ΗΠΑ), που αρχίζει τον Ιανουάριο του 2025, όταν πραγματοποιήθηκε για πρώτη φορά η αρχική εκμετάλλευση. είπε Οι ερευνητές της Cisco Talos Security Asheer Malhotra και Brandon White.
“Τα κελύφη του ιστού, συμπεριλαμβανομένων των Antsword, Chinatso/Chopper και Generic File File, περιείχαν μηνύματα που γράφονται στην κινεζική γλώσσα. Επιπλέον, το προσαρμοσμένο εργαλείο, το Tetraloader, χτίστηκε χρησιμοποιώντας ένα κακόβουλο λογισμικό που ονομάζεται« Maloader »που είναι επίσης γραμμένο σε απλουστευμένα κινέζικα».
Οι ομοσπονδιακές υπηρεσίες προειδοποίησαν αμέσως να ενημερώσουν
Το ελάττωμα ασφαλείας εκμεταλλεύτηκε σε αυτές τις επιθέσεις (CVE-2025-0994) είναι μια ευπάθεια απελπισίας υψηλής απόδοσης που επιτρέπει στους επικυρωμένους ηθοποιούς απειλής να εκτελούν κώδικα εξ αποστάσεως στους διακομιστές πληροφοριών του Microsoft Internet Services (IIS) της Microsoft Internet Services (IIS).
Στις αρχές Φεβρουαρίου 2025, όταν κυκλοφόρησε ενημερώσεις ασφαλείας για να επιδιορθώσει αυτή την ευπάθεια, η Trimble προειδοποίησε ότι γνώριζε τους επιτιθέμενους που προσπαθούσαν να εκμεταλλευτούν το CVE-2025-0994 για να παραβιάσουν ορισμένες αναπτύξεις του Cityworks.
Η Υπηρεσία Ασφάλειας Κυβερνοχώρων και Υποδομών των ΗΠΑ (CISA) Προστέθηκε CVE-2025-0994 Στον κατάλογό του ενεργά εκμεταλλευόμενων τρωτών σημείων στις 7 Φεβρουαρίου, παραγγέλλοντας τις ομοσπονδιακές υπηρεσίες να διορθώσουν τα συστήματά τους εντός τριών εβδομάδων, σύμφωνα με την εντολή της επιχειρησιακής οδηγίας (BOD) 22-01 του Νοεμβρίου του 2021.
“Αυτοί οι τύποι τρωτών σημείων είναι συχνές φορείς επίθεσης για κακόβουλους κυβερνοχώρους και δημιουργούν σημαντικούς κινδύνους για την ομοσπονδιακή επιχείρηση”, το The προειδοποίησε ο οργανισμός για την ασφάλεια στον κυβερνοχώρο.
Μέρες αργότερα, στις 11 Φεβρουαρίου, η CISA δημοσίευσε μια προειδοποίηση συμβουλευτικής σε οργανισμούς στα συστήματα ύδρευσης και λυμάτων, στην ενέργεια, τα συστήματα μεταφοράς, τις κυβερνητικές υπηρεσίες και τις εγκαταστάσεις και τους τομείς των επικοινωνιών για την “εγκατάσταση της ενημερωμένης έκδοσης αμέσως”.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
