Китайскоязычная хакерская группировка UAT-6382 использовала уязвимость CVE-2025-0944 в программном обеспечении Trimble Cityworks для атак на сети местных органов власти в США. Уязвимость позволяет удаленное выполнение кода и была исправлена, однако злоумышленники успели внедрить вредоносное ПО до этого.
Согласно Cisco Talos, атаки начались в январе 2025 года и были нацелены на системы, связанные с управлением коммунальной инфраструктурой. После получения доступа злоумышленники развернули инструменты Cobalt Strike и VShell, а также загрузчик TetraLoader, созданный на основе MaLoader — фреймворка для вредоносного ПО, написанного на упрощённом китайском языке.
Хакеры проводили разведку на скомпрометированных серверах, внедряли веб-оболочки (AntSword, Chopper, Behinder) и устанавливали бэкдоры через PowerShell. Это обеспечивало им долгосрочный доступ и возможность эксфильтрации данных.
Уязвимость CVE-2025-0944 была добавлена в каталог активно эксплуатируемых уязвимостей CISA в феврале 2025 года. Она связана с обработкой ненадежных данных в системе Cityworks, используемой для управления активами на основе ГИС.
Trimble подтвердил, что злоумышленники использовали уязвимость для запуска загрузчика на Rust, который активировал дальнейшие компоненты атаки.
Аналитики подчеркивают, что использование известных китайских инструментов и методов говорит о высокой степени организованности и целенаправленности атак.
Хакеры атаковали криптокошельки Atomic и Exodus через вредоносные npm-пакеты
