Специалисты Cisco Talos выявили серьезную угрозу национальной безопасности США: китайская хакерская группировка UAT-6382 успешно эксплуатировала критическую уязвимость в системе управления муниципальной инфраструктурой Trimble Cityworks. Атаки были направлены на получение несанкционированного доступа к критически важным объектам местного самоуправления.
Механизм атаки и использованные инструменты
Злоумышленники применили сложную многоступенчатую схему проникновения, используя специально разработанный загрузчик вредоносного ПО на языке Rust. После успешной эксплуатации уязвимости CVE-2025-0994 хакеры устанавливали маяки Cobalt Strike и бэкдор VSHell, что позволяло им закрепиться в скомпрометированных системах и получить постоянный удаленный доступ.
Масштаб и цели кибератаки
Основной целью злоумышленников стали системы управления коммунальным хозяйством. В ходе расследования эксперты Cisco Talos обнаружили многочисленные веб-шеллы и вредоносные инструменты с китайскими языковыми маркерами, включая AntSword, chinatso/Chopper и специализированный загрузчик TetraLoader, созданный с помощью билдера MaLoader.
Реакция регулирующих органов и производителя
В ответ на выявленную угрозу компания Trimble оперативно выпустила патчи для устранения уязвимости в начале февраля 2025 года. Агентство по кибербезопасности и защите инфраструктуры США (CISA) включило CVE-2025-0994 в список активно эксплуатируемых уязвимостей, установив трехнедельный срок для обязательного обновления систем федеральных ведомств.
CISA дополнительно выпустило экстренный бюллетень безопасности, настоятельно рекомендующий немедленное обновление Trimble Cityworks для организаций, управляющих критической инфраструктурой в сферах водоснабжения, энергетики и транспорта. Эксперты подчеркивают необходимость усиления мер кибербезопасности и своевременного обновления программного обеспечения для защиты от подобных целенаправленных атак.
