El actor de amenaza de habla china, rastreado como UAT-6382, ofrece ataques de cobalto y vshell en relación con la explotación de la vulnerabilidad de interpretación de código remoto actualmente parcheado de Trimble Cityworks.
«UAT-6382 explotó con éxito CVE-2025-0944, realizó un reconocimiento y rápidamente implementó varios proyectiles web y malware hecho a medida para mantener el acceso a largo plazo». «UAT-6382 expresó un claro interés en pivotar sistemas relacionados con la gestión de servicios públicos».
La compañía de seguridad de la red dijo que había observado ataques dirigidos a la red empresarial de los órganos de gobierno locales de los Estados Unidos desde enero de 2025.
CVE-2025-0944 (puntuación CVSS: 8.6) se refiere al desgasificación de vulnerabilidades de datos no confiables que afectan el software de administración de activos centrado en el SIG que permite la ejecución del código remoto. La vulnerabilidad fue agregada al catálogo de Vulnerabilidades Explotadas (KEV) conocidas por la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) en febrero de 2025 desde el parche.
Según el indicador de Compromisos (COI), la vulnerabilidad se está utilizando para proporcionar un cargador a base de óxido que dispara herramientas de acceso remoto llamadas herramientas de acceso remoto basadas en Cobalt Strike y GO para mantener el acceso a largo plazo a los sistemas infectados.
Cisco Talos, que rastrea los cargadores a base de óxido como Tetraloader, dijo que fue construido con Maloader, un marco de construcción de malware disponible públicamente escrito en chino simplificado.
La explotación exitosa de las aplicaciones vulnerables de CityWorks significa que los actores de amenaza que realizan preconnasantes para identificar y los servidores de huellas dactilares caen Antward, China Toso/Chopper y los fallecidos, ampliamente utilizados por los grupos de piratería chinos.
«UAT-6382 enumeró múltiples directorios sobre servidores de interés, identifica archivos de interés y los organizó en directorios donde nos expandieron nuestro shell web para una fácil eliminación», dijeron los investigadores. «UAT-6382 descargó e implementó múltiples puertas traseras en sistemas comprometidos a través de PowerShell».
Source link
