Çince konuşan bir tehdit oyuncusu UAT-6382 Kobalt Strike ve Vshell’i sunmak için Trimble Cityworks’teki artık paketlenmiş uzaktan kod yürütme kırılganlığının sömürülmesi ile bağlantılıdır.
Cisco Talos araştırmacıları Asheer Malhotra ve Brandon White, “UAT-6382, CVE-2025-0944’ü başarıyla sömürdü, keşif yaptı ve uzun vadeli erişimi sürdürmek için çeşitli web mermileri ve özel yapım kötü amaçlı yazılımları hızla konuşlandırdı.” Dedi. “Erişim kazandıktan sonra, UAT-6382, fayda yönetimi ile ilgili sistemlere dönmeye açık bir ilgi olduğunu ifade etti.”
Ağ güvenlik şirketi, Ocak 2025’ten itibaren ABD’deki yerel yönetim organlarının kurumsal ağlarını hedefleyen saldırıları gözlemlediğini söyledi.
CVE-2025-0944 (CVSS Skoru: 8.6), uzaktan kod yürütmeyi sağlayabilecek CBS merkezli varlık yönetimi yazılımını etkileyen güvenilmeyen veri kırılganlığının seansize edilmesini ifade eder. Yamalıdan beri güvenlik açığı, Şubat 2025’te ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) tarafından bilinen sömürülen güvenlik açıklarına (KEV) kataloğuna eklendi.
Trimble tarafından yayınlanan uzlaşma göstergelerine (IOCS) göre, güvenlik açığı, enfekte sistemlere uzun süreli erişimi sürdürmek amacıyla kobalt grevini başlatan pas tabanlı bir yükleyici ve VShell adlı GO tabanlı bir uzaktan erişim aracı sunmak için kullanılmıştır.
Pas bazlı yükleyiciyi tetraloader olarak izleyen Cisco Talos, basitleştirilmiş Çince yazılmış halka açık bir kötü amaçlı yazılım oluşturma çerçevesi olan Maloader kullanılarak inşa edildiğini söyledi.
Korunmasız CityWorks uygulamasının başarılı bir şekilde kullanılması, sunucuyu tanımlamak ve parmak izlemek için ön keşif yapan tehdit aktörlerinin ve daha sonra Çin hack grupları tarafından yaygın olarak kullanılan antsword, chinatso/helikopter gibi web kabuklarını düşürmesiyle sonuçlanır.
Araştırmacılar, “UAT-6382, ilgilenilen dosyaları tanımlamak için ilgilenen sunucularda birden fazla dizinini numaralandırdı ve daha sonra kolay bir şekilde sonuçlanmak için web kabuklarını dağıttıkları dizinlerde sahneledi.” Dedi. “UAT-6382, PowerShell üzerinden ödün verilen sistemlere birden fazla arka plan indirdi ve kullandı.”