Аналітики Cisco Talos попередили, що китайські хакери використовували вразливість нульового дня в ГІС-програмі Trimble Cityworks для злому місцевих органів влади на території США.

Trimble Cityworks – це ГІС-орієнтована система управління життєвим циклом активів, призначена для управління та обслуговування інфраструктури місцевою владою, комунальними службами, аеропортами та громадськими підприємствами.

За інформацією дослідників, хакерська група UAT-6382 використовувала завантажувач малварі, написаний на Rust, для встановлення на вразливі машини маяків Cobalt Strike і шкідливого ПЗ VSHell. Ця малварь призначена для створення бекдорів у зламаних системах з метою отримання постійного доступу, а також веб-шеллів і кастомних шкідливих інструментів, написаних китайською мовою.

Атаки на Trimble Cityworks почалися в січні 2025 року, коли Cisco Talos помітила підозрілу активність у мережах зламаних організацій.

“У січні 2025 року, коли відбулася перша експлуатація, Talos виявила проникнення в корпоративні мережі місцевих органів влади в США. Отримавши доступ, UAT-6382 виявляли явний інтерес до систем, пов’язаних з управлінням комунальним господарством, – пишуть дослідники. – Веб-шелли, включно з AntSword, chinatso/Chopper і програми завантаження файлів, містили повідомлення, написані китайською мовою. Крім того, кастомний інструмент TetraLoader, створений за допомогою білдера MaLoader, також містить спрощену китайську”.

Також у лютому Агентство з кібербезпеки та захисту інфраструктури США (CISA) додало CVE-2025-0994 до каталогу вразливостей, які активно експлуатуються, і наказало американським федеральним відомствам встановити патчі протягом трьох тижнів.

Трохи згодом CISA підготувало бюлетень безпеки, у якому попередило, що держустанови та організації, які працюють у сфері водопостачання та водовідведення, енергетики, транспортних систем, мають «негайно встановити оновлену версію» Trimble Cityworks.