Аналитики Cisco Talos предупредили, что китайские хакеры использовали уязвимость нулевого дня в ГИС-программе Trimble Cityworks для взлома местных органов власти на территории США.
Trimble Cityworks — это ГИС-ориентированная система управления жизненным циклом активов, предназначенная для управления и обслуживания инфраструктуры местными властями, коммунальными службами, аэропортами и общественными предприятиями.
По информации исследователей, хакерская группа UAT-6382 использовала загрузчик малвари, написанный на Rust, для установки на уязвимые машины маяков Cobalt Strike и вредоносного ПО VSHell. Эта малварь предназначена для создания бэкдоров во взломанных системах с целью получения постоянного доступа, а также веб-шеллов и кастомных вредоносных инструментов, написанных на китайском языке.
Атаки на Trimble Cityworks начались в январе 2025 года, когда Cisco Talos заметила подозрительную активность в сетях взломанных организаций.
«В январе 2025 года, когда произошла первая эксплуатация, Talos обнаружила проникновения в корпоративные сети местных органов власти в США. Получив доступ, UAT-6382 проявляли явный интерес к системам, связанным с управлением коммунальным хозяйством, — пишут исследователи. — Веб-шеллы, включая AntSword, chinatso/Chopper и программы загрузки файлов, содержали сообщения, написанные на китайском языке. Кроме того, кастомный инструмент TetraLoader, созданный с помощью билдера MaLoader, также содержит упрощенный китайский».
В этих атаках использовалась уязвимость CVE-2025-0994, позволяющая аутентифицированным злоумышленникам удаленно выполнять код на серверах Microsoft Internet Information Services (IIS).
В начале февраля 2025 года компания Trimble выпустила патчи для исправления этой проблемы. Уже тогда разработчики сообщали, что им известно о злоумышленниках, пытающихся использовать CVE-2025-0994 с целью взлома установок Cityworks.
Также в феврале Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило CVE-2025-0994 в каталог активно эксплуатируемых уязвимостей и предписало американским федеральным ведомствам установить патчи в течение трех недель.
Чуть позже CISA подготовило бюллетень безопасности, в котором предупредило, что госучреждения и организации, работающие в сфере водоснабжения и водоотведения, энергетики, транспортных систем, должны «немедленно установить обновленную версию» Trimble Cityworks.
