Cityworks Zero-Day Vulnerability Used by UAT-638 Hackers to Infect IIS Servers with Shell Malware
2025/05/22 gbhackers — 広く利用される資産管理システム Cityworks において、ゼロデイのリモート・コード実行の脆弱性 CVE-2025-0994 が積極的に悪用されていることを、Cisco Talos が発見した。この深刻な脆弱性を悪用するのは、中国語圏の脅威アクターとして追跡される UAT-6382 というグループだと、高い確度で推定されている。このグループは、2025年1月以降において、米国の地方自治体のネットワークを標的としている。
この攻撃者は、公共事業管理関連システムへの侵入という明確な意図を示している。そこで用いられるのは、高度な TTP (tactics, techniques, and procedures) であり、IIS Web サーバに Web シェルとカスタム・マルウェアを展開している。
米国の Cybersecurity and Infrastructure Security Agency (CISA) と Cityworks のベンダーである Trimble が、それぞれのアドバイザリを発行している。Talos の調査結果と一致する、具体的な侵害指標 (IOC) を提供する Trimble は、これらの侵入の深刻さを強調している。
中国語圏の脅威アクターが CVE-2025-0994 を悪用
Cityworks の脆弱性を悪用する UAT-6382 は、ipconfig/dir/tasklist などのコマンドを悪用して初期偵察を行い、侵害したサーバのフィンガープリントを取得する。
続いて彼らは、AntSword/chinatso/Chopper/Behinder などのWebシェルを展開する。これらの Web シェルの多くは、中国語のメッセージを取り込んでおり、中国語圏のアクターによる攻撃であることを強く裏付けている。
これらの Web シェルは、バックドアとして機能し、永続的なアクセスを可能にし、ファイルの列挙と情報漏洩のためのステージングを容易にするものだ。
この脅威アクターが使用するものには、”TetraLoader” と呼ばれる、Rust ベースのローダーもある。これは、2024年12月に GitHub に登場した、”MaLoader” と呼ばれる簡体字中国語のマルウェア構築フレームワークで構築されている。
TetraLoader は、Cobalt Strike ビーコンや、VShell ステージャーなどの悪意のペイロードを、”notepad.exe” などの無害なプロセスに挿入し、長期間にわたる秘密のアクセスを可能にしている。
Web シェルの迅速な展開
Go 言語ベースのインプラントである VShell が提供するのは、ファイル管理/コマンド実行/スクリーンショット・キャプチャなどの広範なリモート・アクセス機能でありし、Command and Control (C2) パネルにも中国語インターフェイスが搭載されている。
侵害後の活動が明らかにするのは、重要インフラに重点を置いた攻撃であり、”192.210.239.172″ などの悪意の IP アドレスから追加のバックドアをダウンロードするために、PowerShell コマンドが悪用されている。それが浮き彫りにするのは、このキャンペーンの狙いとされる、標的を絞り込んだ高度な性質である。
Talos のレポートで提供されるのは、TetraLoader/Cobalt Strike ビーコンのファイル・ハッシュおよび、”cdn.lgaircon.xyz”/”www.roomako.com” などの悪意のドメインの IP アドレスといった、ネットワーク指標を含む詳細な IOC である。
Talos の GitHub リポジトリにホストされている、これらの IOC は、この脅威を検出/軽減するユーザー組織にとって不可欠なものである。
保護対策として挙げられるのは、Cisco Secure Endpoint/Secure Firewall/Umbrella などのソリューションによる、悪意のアクティビティ/ドメインのブロックである。
この攻撃は、機密性の高いインフラを標的としているため、UAT-6382 による攻撃が続くと推測される。Cityworks が強く推奨するのは、システムへの速やかなパッチ適用と、提供される IOC 指標の厳重な監視である。
IOC(侵害の兆候)
| Category | Indicator |
|---|---|
| TetraLoader Hashes | 14ed3878b6623c287283a8a80020f68e1cb6bfc37b236f33a95f3a64c4f4611f, … |
| Cobalt Strike Hashes | C02d50d0eb3974818091b8dd91a8bbb8cdefd94d4568a4aea8e1dcdd8869f738 |
| Network IOCs – Domains | cdn.phototagx.com, http://www.roomako.com, lgaircon.xyz |
| Network IOCs – URLs | https://www.roomako.com/jquery-3.3.1.min.js, … |
| Network IOCs – IPs | 192.210.239.172 |
Cityworks のゼロデイ脆弱性 CVE-2025-0994 が FIX しましたが、すでに中国語圏の脅威アクター UAT-6382 による悪用が観測されています。この脆弱性は 2025年2月7日付けで CISA KEV カタログに登録されており、影響を受ける製品や緩和策などは、CISA の ICS アドバイザリで公開されています。ご利用のチームは、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.