Eine hochentwickelte chinesische APT-Gruppe (Advanced Persistent Threat) namens UAT-6382 hat erfolgreich eine kritische Sicherheitslücke in der weitverbreiteten Infrastrukturmanagement-Software Trimble Cityworks ausgenutzt. Die Entdeckung durch Cisco Talos Threat Intelligence offenbart eine ernsthafte Bedrohung für kommunale Versorgungseinrichtungen in den Vereinigten Staaten.
Technische Details der Angriffsmethode
Die Angreifer nutzten eine bisher unbekannte Schwachstelle (CVE-2025-0994) durch einen mehrstufigen Angriffsvektor. Besonders bemerkenswert ist der Einsatz eines in Rust programmierten Custom-Malware-Loaders, der sich durch seine fortschrittliche Verschleierungstechnik auszeichnet. Nach der initialen Kompromittierung wurden Cobalt Strike Beacons und der VSHell-Backdoor implementiert, die den Angreifern persistenten Zugriff ermöglichten.
Identifizierte Malware-Komponenten
Die forensische Analyse enthüllte ein umfangreiches Arsenal an Angriffswerkzeugen mit eindeutigen Verbindungen zu chinesischen Entwicklern. Darunter befanden sich der TetraLoader, erstellt mit dem MaLoader-Builder, sowie die bekannten Web-Shells AntSword und Chopper. Diese Tools zeichnen sich durch spezifische chinesische Sprachmarker und Entwicklungsmuster aus.
Auswirkungen auf kritische Infrastruktur
Der Angriff zielte gezielt auf städtische Versorgungssysteme ab, wobei besonders Einrichtungen der Wasserversorgung, Energieversorgung und des öffentlichen Nahverkehrs im Fokus standen. Die Kompromittierung dieser Systeme hätte potenziell schwerwiegende Auswirkungen auf die öffentliche Sicherheit haben können.
Reaktion und Gegenmaßnahmen
Trimble reagierte prompt mit der Veröffentlichung kritischer Sicherheitsupdates Anfang Februar 2025. Die US-Cybersicherheitsbehörde CISA hat die Schwachstelle in ihren Katalog aktiv ausgenutzer Vulnerabilitäten aufgenommen und eine dreiwöchige Frist für das Patching in Bundesbehörden festgelegt.
Betreiber kritischer Infrastrukturen sollten umgehend die bereitgestellten Sicherheitsupdates implementieren und ihre Netzwerke auf Anzeichen einer Kompromittierung überprüfen. Zusätzlich empfiehlt sich die Einführung einer mehrstufigen Sicherheitsstrategie, einschließlich Network Segmentation und verstärktem Monitoring der Industriesteuerungssysteme (ICS). Die aktuelle Bedrohungslage unterstreicht die Notwendigkeit proaktiver Cybersicherheitsmaßnahmen im Bereich kritischer Infrastruktur.
