Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Китайские хакеры атакуют городские сети США

2 мин
Изображение: recraft С начала 2025 года в сетях американских городских администраций фиксируются системные вторжения, организованные группой злоумышленников, говорящих на китайском языке. Специалисты Cisco Talos связывают эти атаки с UAT-6382 — организацией, действующей в интересах финансовой выгоды и использующей вектор проникновения через уязвимость в программной платформе Cityworks. По данным Cisco Talos, проникновение происходило через CVE-2025-0994 — критическую брешь в системе, основанной на Microsoft IIS, с рейтингом опасности CVSS 8.6. Уязвимость позволяла авторизованному пользователю удалённо запускать произвольный код на сервере. Варианты Cityworks ниже версии 15.8.9, выпущенной компанией Trimble в январе 2025 года, оставались подвержены атакам. Эксперты компании подчеркнули, что после получения доступа к целевой системе, злоумышленники переходили к разведывательной фазе. Уже в первые минуты после вторжения в инфраструктуру начиналась установка вредоносных инструментов — веб-

Изображение: recraft

С начала 2025 года в сетях американских городских администраций фиксируются системные вторжения, организованные группой злоумышленников, говорящих на китайском языке. Специалисты Cisco Talos связывают эти атаки с UAT-6382 — организацией, действующей в интересах финансовой выгоды и использующей вектор проникновения через уязвимость в программной платформе Cityworks.

По данным Cisco Talos, проникновение происходило через CVE-2025-0994 — критическую брешь в системе, основанной на Microsoft IIS, с рейтингом опасности CVSS 8.6. Уязвимость позволяла авторизованному пользователю удалённо запускать произвольный код на сервере. Варианты Cityworks ниже версии 15.8.9, выпущенной компанией Trimble в январе 2025 года, оставались подвержены атакам.

Эксперты компании подчеркнули, что после получения доступа к целевой системе, злоумышленники переходили к разведывательной фазе. Уже в первые минуты после вторжения в инфраструктуру начиналась установка вредоносных инструментов — веб-оболочек, упрощающих дальнейшую работу внутри заражённой среды. Среди применённых средств обнаружены китайские версии программ AntSword, Behinder и chinatso, а также дополнительные загрузчики файлов, содержащие фрагменты текста на китайском языке.

Интерес со стороны нападавших был сосредоточен на системах, обслуживающих коммунальные объекты, что наводит на мысль о попытке расширить контроль за критически важной городской инфраструктурой. По словам специалистов Cisco Talos, в процессе закрепления в сети группа размещала бэкдоры через PowerShell и интегрировала их в те участки, где ранее были установлены веб-шеллы. Это позволяло не только поддерживать устойчивый канал связи с заражённой системой, но и оперативно извлекать интересующие файлы.

Особое внимание аналитиков вызвали признаки принадлежности группировки к китайской киберпреступной среде. Как отметил исследовательский отдел Cisco, об этом свидетельствует не только язык, на котором написаны сообщения в зловредных скриптах, но и набор методик, характерный для китайскоязычных атакующих: от подходов к развертыванию до конкретных элементов вредоносного ПО.

Оригинал публикации на сайте CISOCLUB: "Китайских хакеров обвинили в атаках на американские муниципалитеты через уязвимость Cityworks".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.