Cisco Talos, yaygın olarak kullanılan bir varlık yönetim sistemi olan Cityworks’te CVE-2025-0994 olarak tanımlanan sıfır gün uzaktan kodu yürütme güvenlik açığının aktif olarak sömürülmesini ortaya çıkardı.
Bu kritik kusur, Ocak 2025’ten bu yana ABD’deki yerel yönetim organlarının kurumsal ağlarını hedeflemek için Çince konuşan tehdit aktörleri olarak yüksek güvenle değerlendirilen UAT-6382 olarak izlenen bir grup tarafından kullanılmıştır.
Saldırganlar, İnternet Bilgi Hizmetleri (IIS) web sunucularına web kabuklarını ve özel kötü amaçlı yazılımları dağıtmak için sofistike taktikler, teknikler ve prosedürler (TTPS) kullanarak, kamu hizmetleri yönetimi ile ilgili sistemlere sızmak için açık bir niyet gösterdiler.
.png
)
Cityworks satıcısı Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) hem de Trimble, Trimble’ın Talos’un bulgularıyla uyumlu özel uzlaşma göstergeleri (IOC) sağlayan, bu girişlerin şiddetini ve örtüşmesini sağlayan tavsiyelerde bulundu.
Çince konuşan tehdit aktörleri CVE-2025-0994’ü sömürdü
CityWorks güvenlik açığının başarılı bir şekilde kullanılması üzerine UAT-6382 ipconfig– dirVe tasklist Parmak izi tehlikeye atılmış sunucular.
Bunu hızla, birçoğu Çince mesajlaşma içeren, Çince konuşan aktörlere atıfta bulunarak antsword, chinatso/helikopter gibi web mermilerinin konuşlandırılması takip ediyor.
Bu web mermileri, kalıcı erişim sağlayan ve dosya numaralandırmasını kolaylaştıran ve pessfiltrasyon için evrelemeyi sağlayan arka kapı görevi görür.
Tehdit aktörleri ayrıca Aralık 2024’te GitHub’da ortaya çıkan “Maloader” adlı basitleştirilmiş bir Çin kötü amaçlı yazılım inşa çerçevesi kullanılarak “Tetraloader” olarak adlandırılan pas tabanlı yükleyiciler kullanıyor.
Tetraloader, Kobalt Strike Beacons ve Vshell Stagers da dahil olmak üzere kötü niyetli yükleri gibi iyi huylu süreçlere enjekte eder. notepad.exegizli uzun vadeli erişimin sağlanması.
Web Kabuklarının Hızlı Dağıtım
Golang tabanlı bir implant olan Vshell, Çin arayüzleri içeren komut ve kontrol (C2) panelleri ile dosya yönetimi, komut yürütme ve ekran görüntüsü yakalama gibi kapsamlı uzaktan erişim özellikleri sunar.
Kontratür sonrası faaliyetler, bu kampanyanın gelişmiş ve hedefli doğasını vurgulayan 192.210.239.172 gibi kötü niyetli IP’lerden ek backdoors indirmek için kullanılan PowerShell komutları ile kritik altyapıya dönmeye odaklanmaktadır.
Rapora göre Talos, tetraloader ve kobalt grev işaretleri için dosya karmaları ve kötü niyetli alanlar gibi ağ göstergeleri de dahil olmak üzere ayrıntılı IOC’ler sağladı (örn. cdn.lgaircon.xyz– www.roomako.com) ve IP adresleri.
Talos’un GitHub deposunda barındırılan bu IOC’ler, kuruluşların bu tehdidi tespit etmesi ve azaltması için kritik öneme sahiptir.
Koruyucu önlemler, kötü niyetli etkinlik ve alanları engellemek için Cisco Güvenli Uç Noktası, Güvenli Güvenlik Duvarı ve Şemsiye gibi kaldırma çözümlerini içerir.
Bu kampanya hassas altyapıyı hedeflediğinden, CityWorks sistemlerinin derhal yamalanması ve listelenen IOC’ler için uyanık izlemenin UAT-6382 tarafından daha fazla uzlaşmayı önlemesi şiddetle tavsiye edilir.
Uzlaşma Göstergeleri (IOCS)
| Kategori | Gösterge |
|---|---|
| Tetraloader karma | 14ed3878b6623c287283a8a80020f68e1cb6bfc3b236f3a95f3a64c4f4611f, … |
| Kobalt Strike Hashes | C02d50d0eb3974818091b8dd91a8bb8cdefd94d4568a4aea8e1dcd8869f738 |
| Ağ IOCS – Alan adları | cdn.phototagx.com, www.roomako.com, lgaircon.xyz |
| Ağ IOCS – URL’ler | https://www.roomako.com/jquery-3.3.1.min.js,… |
| Ağ IOCS – IPS | 192.210.239.172 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!