近月來,一個中國黑客組織利用天寶(Trimble)公司旗下的Cityworks軟件的一個已修復的「零日」(zero-day,又稱零時差) 漏洞,入侵了美國多個地方政府機構。
天寶公司旗下的Cityworks是一款基於地理資訊系統(Geographic Information System, GIS)的資產管理和工作訂單管理軟件,使用者主要是地方政府、公用事業和公共工程組織,用於幫助基礎設施機構和市政當局管理公共資產、處理許可證和執照,以及處理工作訂單等。
發動此次攻擊的中國黑客組織「UAT-6382」所利用的,是天寶公司在2025年2月初修補的一個Cityworks軟件「零日」漏洞,名為CVE-2025-0994,屬於反序列化高危漏洞,允許經過身份驗證的攻擊者針對微軟的互聯網訊息服務(IIS)伺服器遠程執行任意程序代碼。
事件經過
思科旗下的威脅情報研究團隊「思科Talos」(Cisco Talos)指出,這些攻擊始於2025年1月,該團隊首次在受攻擊企業網絡中發現了偵察活動跡象。
思科Talos的安全研究員阿希爾‧馬爾霍特拉(Asheer Malhotra)和布蘭登‧懷特(Brandon White)表示,「Talos在美國地方政府的企業網絡中發現了入侵行為,這些入侵行為始於2025年1月,在獲得訪問權限後,UAT-6382明顯表現出對朝著與公用事業管理相關的系統轉向的興趣。」
該黑客組織進行偵察之後,迅速部署了一系列的Web Shell,以及自行製作的基於Rust編碼的惡意軟件載入工具TetraLoader,以便進行長期活動。
兩人表示,「黑客使用的(Web Shell)網絡後門工具包括AntSword(蚊劍)、chinatso/Chopper(中國菜刀)和通用文件上傳工具,都內含簡體中文訊息,而自定義工具TetraLoader是使用名為『MaLoader』的惡意軟件構建工具開發的,該工具同樣是簡體中文的。」
Web Shell通常是通過典型開發程序語言編寫成的一小段惡意程序碼,攻擊者將它植入到網頁伺服器上,以便遠程存取伺服器和在伺服器上執行命令,以竊取資料,或將伺服器作為其它攻擊的跳板。
而對於惡意軟件載入工具TetraLoader,黑客用其部署了Cobalt Strike信標和VSHell惡意軟件,對受感染系統植入後門,由此獲得長期持久訪問權限。
各聯邦機構被警告立即修復漏洞
天寶公司2月初發布安全更新以修復CVE-2025-0994漏洞時警告稱,已發現攻擊者試圖利用此漏洞入侵Cityworks軟件的部份部署。
美國網絡安全與基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)於2月7日將CVE-2025-0994納入其「已知遭利用漏洞」(Known Exploited Vulnerabilities, KEV)清單,並根據2021年11月發布的《具約束力操作指引》(Binding Operational Directive 22-01,BOD 22-01)要求聯邦機構在三周內完成系統修補。
該網絡安全機構警告,「此類漏洞是惡意網絡攻擊者的常見攻擊載體,對聯邦企業構成重大風險。」
幾天後,即2月11日,CISA發布了一份諮詢警告,要求水和污水處理系統、能源、交通系統、政府服務和設施以及通訊領域的組織「立即安裝更新版本」。
鑒於此類攻擊帶來的影響可能會相當嚴重,自該漏洞揭露出來之後就受到關注,最近上述進一步的細節公布了出來。
對中共黑客的起訴與制裁
參與危害美國網絡的中共黑客,近期已經遭到多宗起訴和制裁,這些黑客被指為中共國家支持的惡意網絡組織。
3月5日,美國財政部外國資產控制辦公室(OFAC)宣布,制裁周帥(Zhou Shuai,音譯)及其公司上海黑鷹資訊科技有限公司(Shanghai Heiying)。周帥與另一名已被美國制裁的黑客尹克臣(Yin Kechen,音譯)合作,非法獲取並出售美國關鍵基礎設施網絡的敏感數據。
3月5日,美國聯邦法院起訴了12名中國公民參與惡意網絡攻擊行動,他們對包括「《大紀元》媒體集團」在內的多家企業或個人,實施了多次大規模黑客入侵。
根據美國司法部公布的起訴書,8名「安洵資訊科技有限公司」(i-Soon)的員工及2名中共公安部官員,自2016年至2023年期間,大規模入侵海外電子郵件帳戶、手機、伺服器和相關網站,收集敏感訊息,提供給中共政權使用,並從中收取高額費用。資料顯示,通過此類黑客行為,安洵公司營收數千萬美元。
另外,一個名為「APT-27」黑客組織的兩名成員也被指控從2013年起,利用網絡漏洞,對受害者進行黑客入侵,安裝如「PlugX木馬」等惡意軟件,持續獲取數據,通過安洵公司出售給中共國安部和公安部。
(本文參考了BleepingComputer、新唐人電視台的報道)#
----------------------
♠️中美關係藏暗湧♦️
1️⃣ 美國境內的秘密戰爭
https://tinyurl.com/bdhrdnt7
2️⃣ 跨國鎮壓技倆一覽
https://tinyurl.com/4xst7r2d
3️⃣ 評論:習近平實權暗地移交 新決策層如何抉擇?
https://tinyurl.com/3c8h2d9n
----------------------
【不忘初衷 延續真相】
📰周末版復印 支持購買👇🏻
http://epochtimeshk.org/stores
