Cisco Talos, UAT-6382 Tehdit Grubu’ndan Çinli bilgisayar korsanları tarafından Cityworks’teki sıfır gün güvenlik açığının (CVE-2025-0994) aktif olarak sömürülmesini uyarıyor. Kötü amaçlı yazılım, etkilenen kuruluşlar ve kritik güvenlik yamaları hakkında bilgi edinin.
Cisco Talos araştırmacıları, kamu varlıklarını yönetmek için yaygın olarak kullanılan bir platform olan Trimble CityWorks’ü hedefleyen aktif siber saldırılar hakkında kritik bir uyarı yayınladı. UAT-6382 olarak izlenen sofistike bir tehdit grubu olan Hackread.com ile paylaşılan Cisco Talos’un son araştırmasına göre, sistemde yeni keşfedilen yüksek şiddetli bir güvenlik açığı CVE-2025-0994’ü kullanıyor.
CVSS puanına sahip olan bu güvenlik açığı, uzaktan kod yürütülmesine izin verir, yani saldırganlar etkilenen sistemlerde kötü amaçlı programlarını uzaktan çalıştırabilirler. Bu saldırılar Ocak 2025’ten beri gözlemlenmiştir ve öncelikle Amerika Birleşik Devletleri’ndeki yerel yönetim kuruluşlarını hedeflemektedir. Bazı saldırılar zaten başarılı uzlaşmalarla sonuçlanmıştır.
Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ve Trimble da bu ciddi kusurla ilgili uyarılarını yayınladılar. Bildirildiğine göre, güvenlik açığı, saldırganların kimliği doğrulamaya gerek kalmadan Microsoft Internet Information Services Web sunucusuna karşı uzaktan erişim elde etmelerini ve kötü amaçlı kod yürütmelerine olanak tanır. CityWorks Güvenlik Açığı, 15.8.9’dan önceki sürümleri ve 23.10’dan önce Office Companion sürümleriyle CityWorks’ü etkiler.
İçeri girdikten sonra UAT-6382 hızlı bir şekilde konuşlandırılır web mermileri beğenmek AntSword Ve chinatso/Chopper Gizli erişimi korumak için tehlikeye atılan web sunucularında. Ayrıca, Cobalt Strike ve Vshell gibi daha kalıcı kötü amaçlı yazılım yüklemek için Tetraloader adlı pas tabanlı bir yükleyici de dahil olmak üzere özel yapım araçlar kullanırlar.
“Talos, ABD’deki (ABD) yerel yönetim organlarının kurumsal ağlarında müdahale buldu, Ocak 2025’ten başlayarak ilk sömürünün gerçekleştiği. UAT-6382, CVE-2025-0944’ü başarıyla sömürdü, keşif yürüttü ve hızlı bir şekilde uzun süreli erişimini sürdürmek için çeşitli web kabukları ve özel yapım kötü amaçlı yazılımları hızla konuşlandırdı.
Cisco Talos
Çince konuşan aktörler tanımlandı
Metodlarına ve araçlarına dayanarak, Cisco Talos’un raporu UAT-6382’nin bir grup “Çince konuşan tehdit aktörleri” olduğuna dair çok güvenle öne sürüyor. Bunu destekleyen kanıtlar, web kabuklarında bulunan Çince dilini ve tetraloader inşa etmek için kullanılan çerçeve olan Maloader’ın da basitleştirilmiş Çince olarak yazıldığını içerir. Aralık 2024’te ortaya çıkan bu kötü amaçlı yazılım üreticisi, operatörlerin kötü amaçlı kodları Tetraloader gibi pas tabanlı programlara paketlemesine izin veriyor.
Araştırmacılar, erişim kazandıktan sonra saldırganların fayda yönetimi ile ilgili sistemlere özel bir ilgi gösterdiğini belirtti. İlk eylemleri, güvenliği ihlal edilen sunucuyu kurulumunu anlamak, CityWorks ile ilgili belirli dizinleri aramayı ve daha sonra web kabuklarını hızla ayarlamayı içerir. Ayrıca, uzun vadeli erişim sağlamak için PowerShell komutlarını kullanarak potansiyel veri hırsızlığı ve backdoors dağıtım için duyarlı dosyalar.
Kötü Yazılımları Anlamak
Tetraloader’ın ana işlevi, Notepad.exe gibi meşru süreçlere çeşitli yükleri enjekte etmektir. Bu yükler, saldırganlar tarafından komuta ve kontrol için yaygın olarak kullanılan Cobalt Strike Beacons veya Vshell Stagers olabilir.
Bilgileriniz için VShell, saldırganların dosyaları yönetmesine, komutları çalıştırmasına, ekran görüntüleri almasına ve enfekte olmuş sistemlerde proxy hizmetleri kurmasına olanak tanıyan Golang tabanlı bir uzaktan erişim Truva atıdır. Bu grup tarafından kullanılan diğer araçlar gibi, VShell kontrol panelleri de operatörlerin dilde yeterliliğini gösteren Çince metin görüntüler.
CityWorks, CVE-2025-0994 güvenlik açığını ele almak için güvenlik yamaları yayınladı ve kullanıcıları hemen güncellemeye çağırdı. Kuruluşlar, Cisco Talos’un teknik uzlaşma göstergelerini (IOCS) kullanarak şüpheli etkinlikleri izlemelidir. Cisco Talos ayrıca, bu tür saldırılara karşı korunmak için Cisco Secure Uç Noktası, Güvenli Güvenlik Duvarı ve Şemsiye gibi güvenlik ürünlerinin kullanılmasını önerir.