Çince konuşan bilgisayar korsanları, ABD genelinde birden fazla yerel yönetim organını ihlal etmek için şimdi patched Trimble Cityworks Zero Day’den yararlandı.
Trimble CityWorks, öncelikle yerel yönetimler, kamu hizmetleri ve bayındırlık kuruluşları tarafından kullanılan ve altyapı ajansları ve belediyelerin kamu varlıklarını yönetmesine, izin vermeyi ve lisanslamayı ele almasına ve iş emirlerini sürdürmesine yardımcı olmak için tasarlanan bir Coğrafi Bilgi Sistemi (CBS) tabanlı varlık yönetimi ve iş siparişi yönetimi yazılımıdır.
Bu kampanyanın arkasındaki hackleme grubu (UAT-6382), arka kapıyı tehlikeye atılmış sistemler ve uzun vadeli kalıcı erişim sağlamak için tasarlanmış kobalt grev işaretçileri ve vShell kötü amaçlı yazılımları dağıtmak için pas tabanlı bir kötü amaçlı yazılım yükleyici kullandı.
Bu saldırılar, Cisco Talos’un ihlal edilen kuruluşların ağlarında ilk keşif faaliyet belirtilerini gözlemlediği Ocak 2025’te başladı.
Cisco Talos Güvenlik Araştırmacıları Asheer Malhotra ve Brandon White, “Talos, ilk sömürünün ilk kez gerçekleştiği Ocak 2025’ten itibaren ABD’deki (ABD) yerel yönetim organlarının kurumsal ağlarında müdahale buldu. UAT-6382, kamu hizmetleri yönetimi ile ilgili sistemlere dönmeye açık bir ilgi duyduğunu ifade etti.” Dedi.
“Antsword, Chinatso/helikopter ve jenerik dosya yükleyicileri de dahil olmak üzere web mermileri, Çin dilinde yazılmış mesajlar içeriyordu. Ayrıca, özel takım, tetraloader, basitleştirilmiş Çince yazılan ‘maloader’ adlı bir kötü amaçlı yazılım kullanılarak inşa edildi.”
Federal ajanslar hemen yamaya uyardı
Bu saldırılarda sömürülen güvenlik kusuru (CVE-2025-0994), kimlik doğrulamalı tehdit aktörlerinin Hedefler Microsoft Internet Bilgi Hizmetleri (IIS) sunucularında uzaktan kod yürütmesine izin veren yüksek şiddetli bir firalizasyon kırılganlığıdır.
Şubat 2025’in başlarında, bu güvenlik açığını yamalamak için güvenlik güncellemeleri yayınladığında Trimble, bazı şehir işleri dağıtımlarını ihlal etmek için CVE-2025-0994’ten yararlanmaya çalışan saldırganların farkında olduğu konusunda uyardı.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), 7 Şubat’ta aktif olarak sömürülen güvenlik açıkları kataloğuna CVE-2025-0994 ekledi ve federal ajanslara, Kasım 2021 Bağlayıcı Operasyonel Direktif (BOD) 22-01 tarafından zorunlu kılınan üç hafta içinde sistemlerini yamalarını emretti.
Siber güvenlik ajansı, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleridir ve federal işletme için önemli riskler oluşturmaktadır.”
Günler sonra, 11 Şubat’ta CISA, su ve atık su sistemleri, enerji, ulaşım sistemleri, devlet hizmetleri ve tesisleri ve iletişim sektörlerindeki kuruluşlara “güncellenmiş versiyonu derhal kurmak” için bir danışmanlık uyarısı yayınladı.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.