Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Хакеры атакуют сети администраций США

2 мин
Изображение: recraft Специалисты Cisco Talos зафиксировали серию попыток проникновения в сети местных администраций США, за которыми стоит хакерская группа, говорящая на китайском языке и отслеживаемая под обозначением UAT-6382. По информации экспертов, атакующие использовали уже устранённую уязвимость CVE-2025-0944 в программной платформе Trimble Cityworks, предназначенной для работы с геоинформационными системами. Как сообщили Эшир Малхотра и Брэндон Уайт из Cisco Talos, злоумышленники, после проникновения в системы, моментально активировали набор вредоносных компонентов. В частности, применялись веб-оболочки и специально написанные фрагменты кода, которые позволяли хакерам сохранять присутствие в сети. Отмечено, что особое внимание было уделено системам, связанным с управлением коммунальными службами. Сами атаки стартовали в январе 2025 года и были нацелены на ИТ-инфраструктуру муниципальных органов. Уязвимость CVE-2025-0944, получившая оценку 8,6 по шкале CVSS, возникала при десери

Изображение: recraft

Специалисты Cisco Talos зафиксировали серию попыток проникновения в сети местных администраций США, за которыми стоит хакерская группа, говорящая на китайском языке и отслеживаемая под обозначением UAT-6382. По информации экспертов, атакующие использовали уже устранённую уязвимость CVE-2025-0944 в программной платформе Trimble Cityworks, предназначенной для работы с геоинформационными системами.

Как сообщили Эшир Малхотра и Брэндон Уайт из Cisco Talos, злоумышленники, после проникновения в системы, моментально активировали набор вредоносных компонентов. В частности, применялись веб-оболочки и специально написанные фрагменты кода, которые позволяли хакерам сохранять присутствие в сети. Отмечено, что особое внимание было уделено системам, связанным с управлением коммунальными службами.

Сами атаки стартовали в январе 2025 года и были нацелены на ИТ-инфраструктуру муниципальных органов. Уязвимость CVE-2025-0944, получившая оценку 8,6 по шкале CVSS, возникала при десериализации недостоверных данных в Cityworks. Этот баг предоставлял возможность удалённого запуска кода и, несмотря на выпуск патча, продолжал использоваться до момента включения в список активных угроз от Агентства по кибербезопасности и защите инфраструктуры США (CISA) в феврале 2025 года.

Trimble, разработчик программного продукта, позже опубликовал технические данные, в том числе индикаторы компрометации. На их основании стало ясно, что злоумышленники загружали модуль, написанный на Rust, выполнявший функцию загрузчика и запуск Cobalt Strike — инструмента для моделирования атак, часто используемого хакерами. Также применялся VShell — программа удалённого доступа, разработанная на языке Go.

По данным Cisco Talos, загрузчик на базе Rust, получивший внутреннее название TetraLoader, был собран с помощью MaLoader — китайской утилиты для разработки вредоносного ПО, опубликованной в конце 2024 года на GitHub. Обнаружение этого инструмента указывает на всё более широкое применение полуоткрытых сред программирования для создания модулей взлома, ориентированных на длительное скрытое присутствие в корпоративных сетях.

Оригинал публикации на сайте CISOCLUB: "Китайские хакеры атакуют американские ведомства, проникая через уязвимости в ПО управления инфраструктурой".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.