記事本文(要約)
中国語を話す脅威アクターUAT-6382が、Trimble Cityworksのリモートコード実行の脆弱性CVE-2025-0944(CVSSスコア: 8.6)を悪用してCobalt StrikeとVShellを配信していることが確認されました。この脆弱性は、GIS中心の資産管理ソフトウェアの信頼されていないデータのデシリアライズに関するもので、遠隔からのコード実行を可能にしてしまいます。Cisco Talosの研究者によると、UAT-6382は、脆弱性の悪用により米国の地方自治体の企業ネットワークを狙い、初期の偵察を行い、様々なウェブシェルやカスタムマルウェアを迅速に展開して長期間のアクセス維持を試みました。攻撃開始は2025年1月からで、CISAにより2025年2月に既知の脆弱性カタログに追加されました。悪用されたシステムには、簡体字中国語で書かれたMaLoaderフレームワークを利用して構築されたTetraLoaderが導入され、Cobalt StrikeとVShellを実行するRustベースローダーや、PowerShellを用いた複数のバックドアが設置されています。
※この要約はChatGPTを使用して生成されました。
公開日: Thu, 22 May 2025 20:36:00 +0530
Original URL: https://thehackernews.com/2025/05/chinese-hackers-exploit-trimble.html
詳細な技術情報
以下は、指定された文章に基づくセキュリティに関する分析です:
CVE番号
- CVE-2025-0944
脆弱性の仕組み
- 脆弱性の種類: 信頼されていないデータの逆シリアル化(Deserialization of Untrusted Data)
- 影響範囲: GISを重視したアセット管理ソフトウェアであるTrimble Cityworksに影響
- 脆弱性の詳細: この脆弱性により、攻撃者は遠隔でコードを実行することが可能となる。このため、攻撃者はシステムの完全な制御を得ることができる。
攻撃手法
- 初期アクセス: CVE-2025-0944を利用した遠隔コード実行
- マルウェアの配布:
- Rustベースのロードアー(TetraLoader)を利用
- Cobalt StrikeとGoベースのリモートアクセスツール(VShell)を含むマルウェアを配布
- 持続的アクセスの維持:
- Webシェルの展開(AntSword、chinatso/Chopper、Behinder)
- カスタムメイドのマルウェアによる長期アクセスの維持
- システムの偵察と情報収集:
- サーバー上のディレクトリの列挙とファイルの指紋採取、ファイルのステージング
- PowerShellを介したバックドアの展開
潜在的な影響
- 情報漏洩: 攻撃者がシステム内の重要なデータを取得し、不正に利用する可能性
- システムの制御奪取: リモートでシステムを操作可能になるため、業務運営に支障をきたすリスク
- 長期的な脅威: バックドアにより攻撃者が持続的にアクセス可能になり、再侵入や追加の攻撃が容易となる
推奨される対策
- パッチ適用:
- 開発元から提供されている最新のパッチやアップデートを直ちに適用すること
- CISAのKnown Exploited Vulnerabilities(KEV)カタログにて継続的な確認
- ネットワーク監視:
- 異常な通信や不審なアクセスを早期に検出するためのネットワーク監視を強化する
- 指標(IoCs)系によるトラフィックとログの監視
- アクセス制御:
- システムへのアクセスを厳格に管理、不要なサービスの無効化とアクセス制御の強化
- 特にPowerShellなどのスクリプトの実行を必要最小限に制限
- セキュリティ教育:
- システム管理者や関連スタッフに対して最新の攻撃手法への知識を提供する
- セキュリティ意識を高めるための定期的なトレーニング
- バックアップと復旧計画の整備:
- データの定期的なバックアップを実施し、迅速な復旧を可能にするための計画を策定する
