Deep Web
Κινέζοι χάκερ εκμεταλλεύονται κενό ασφαλείας στο Trimble Cityworks
Κινέζοι χάκερ εκμεταλλεύονται κενό ασφαλείας στο Trimble Cityworks για να εισβάλουν σε αμερικανικά κυβερνητικά δίκτυα.
Εισβολή σε αμερικανικά κυβερνητικά δίκτυα
Μια ομάδα απειλών, γνωστή ως UAT-6382, έχει συνδεθεί με την εκμετάλλευση μιας ευπάθειας απομακρυσμένης εκτέλεσης κώδικα στο λογισμικό Trimble Cityworks, το οποίο πλέον έχει διορθωθεί. Η ευπάθεια αυτή χρησιμοποιήθηκε για την εγκατάσταση των εργαλείων Cobalt Strike και VShell.
Οι ερευνητές της Cisco Talos, Asheer Malhotra και Brandon White, ανέφεραν ότι η ομάδα UAT-6382 εκμεταλλεύτηκε επιτυχώς την ευπάθεια CVE-2025-0944, διεξήγαγε αναγνώριση και γρήγορα ανέπτυξε μια ποικιλία από web shells και ειδικά κατασκευασμένο κακόβουλο λογισμικό για να διατηρήσει μακροπρόθεσμη πρόσβαση. Με την πρόσβαση που απέκτησαν, οι χάκερ έδειξαν ιδιαίτερο ενδιαφέρον για συστήματα που σχετίζονται με τη διαχείριση υποδομών.
Τεχνική ανάλυση της ευπάθειας
Η ευπάθεια CVE-2025-0944 (με βαθμολογία CVSS: 8.6) αφορά την αποσειριοποίηση μη αξιόπιστων δεδομένων στο λογισμικό διαχείρισης περιουσιακών στοιχείων που βασίζεται σε GIS, το οποίο θα μπορούσε να επιτρέψει την απομακρυσμένη εκτέλεση κώδικα. Η ευπάθεια αυτή, η οποία έχει πλέον διορθωθεί, προστέθηκε στον κατάλογο των γνωστών εκμεταλλευόμενων ευπαθειών (KEV) από την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) τον Φεβρουάριο του 2025.
Η Cisco Talos παρατήρησε ότι οι επιθέσεις στόχευαν δίκτυα επιχειρήσεων τοπικών κυβερνητικών φορέων στις Ηνωμένες Πολιτείες από τον Ιανουάριο του 2025.
Εργαλεία και τεχνικές των χάκερ
Σύμφωνα με δείκτες συμβιβασμού (IoCs) που δημοσιεύτηκαν από την Trimble, η ευπάθεια έχει εκμεταλλευτεί για την παράδοση ενός φορτωτή βασισμένου στη γλώσσα Rust, ο οποίος εκκινεί το Cobalt Strike και ένα εργαλείο απομακρυσμένης πρόσβασης βασισμένο στη γλώσσα Go, γνωστό ως VShell, σε μια προσπάθεια να διατηρηθεί μακροπρόθεσμη πρόσβαση στα μολυσμένα συστήματα.
Η Cisco Talos, η οποία παρακολουθεί τον φορτωτή βασισμένο στη Rust ως TetraLoader, δήλωσε ότι είναι κατασκευασμένος χρησιμοποιώντας το MaLoader, ένα δημόσια διαθέσιμο πλαίσιο κατασκευής κακόβουλου λογισμικού γραμμένο στα απλοποιημένα κινέζικα.
Διαδικασία εκμετάλλευσης και επιπτώσεις
Η επιτυχής εκμετάλλευση της ευπαθούς εφαρμογής Cityworks οδηγεί τους χάκερ να διεξάγουν προκαταρκτική αναγνώριση για να εντοπίσουν και να αποτυπώσουν τον διακομιστή και στη συνέχεια να εγκαταστήσουν web shells όπως το AntSword, το chinatso/Chopper και το Behinder, τα οποία χρησιμοποιούνται ευρέως από κινεζικές ομάδες χάκερ.
Οι ερευνητές ανέφεραν ότι η ομάδα UAT-6382 απαρίθμησε πολλαπλούς καταλόγους σε διακομιστές ενδιαφέροντος για να εντοπίσει αρχεία που τους ενδιέφεραν και στη συνέχεια τα τοποθέτησε σε καταλόγους όπου είχαν αναπτύξει web shells για εύκολη εξαγωγή. Η ομάδα UAT-6382 κατέβασε και ανέπτυξε πολλαπλά backdoors σε παραβιασμένα συστήματα μέσω PowerShell.
