网络战 中共骇客利用零日漏洞入侵美国地方政府机构 * 阿波罗新闻网
新闻 > 军政 > 正文
网络战 中共骇客利用零日漏洞入侵美国地方政府机构
近月来,一个中国骇客组织利用天宝(Trimble)公司旗下的Cityworks软件的一个已修复的“零日”(zero-day,又称零时差) 漏洞,入侵了美国多个地方政府机构。

中共骇客利用零日漏洞入侵美国地方政府机构黑客在进行网络攻击示意图。(Oleksii Pydsosonnii/大..;)

近月来,一个中国骇客组织利用天宝(Trimble)公司旗下的Cityworks软件的一个已修复的“零日”(zero-day,又称零时差) 漏洞,入侵了美国多个地方政府机构。

天宝公司旗下的Cityworks是一款基于地理信息系统(Geographic Information System, GIS)的资产管理和工作订单管理软件,使用者主要是地方政府、公用事业和公共工程组织,用于帮助基础设施机构和市政当局管理公共资产、处理许可证和执照,以及处理工作订单等。

发动此次攻击的中国骇客组织“UAT-6382”所利用的,是天宝公司在2025年2月初修补的一个Cityworks软件“零日”漏洞,名为CVE-2025-0994,属于反序列化高危漏洞,允许经过身份验证的攻击者针对微软的互联网信息服务(IIS)服务器远程执行任意程序代码。

事件经过

思科旗下的威胁情报研究团队“思科Talos”(Cisco Talos)指出,这些攻击始于2025年1月,该团队首次在受攻击企业网络中发现了侦察活动迹象。

思科Talos的安全研究员阿希尔‧马尔霍特拉(Asheer Malhotra)和布兰登‧怀特(Brandon White)表示,“Talos在美国地方政府的企业网络中发现了入侵行为,这些入侵行为始于2025年1月,在获得访问权限后,UAT-6382明显表现出对朝着与公用事业管理相关的系统转向的兴趣。”

该骇客组织进行侦察之后,迅速部署了一系列的Web Shell,以及自行制作的基于Rust编码的恶意软件载入工具TetraLoader,以便进行长期活动

两人表示,“骇客使用的(Web Shell)网络后门工具包括AntSword(蚊剑)、chinatso/Chopper(中国菜刀)和通用文件上传工具,都内含简体中文讯息,而自定义工具TetraLoader是使用名为‘MaLoader’的恶意软件构建工具开发的,该工具同样是简体中文的。”

Web Shell通常是通过典型开发程序语言编写成的一小段恶意程序码,攻击者将它植入到网页服务器上,以便远程存取服务器和在服务器上执行命令,以窃取资料,或将服务器作为其它攻击的跳板。

而对于恶意软件载入工具TetraLoader,骇客用其部署了Cobalt Strike信标和VSHell恶意软件,对受感染系统植入后门,由此获得长期持久访问权限。

各联邦机构被警告立即修复漏洞

天宝公司2月初发布安全更新以修复CVE-2025-0994漏洞时警告称,已发现攻击者试图利用此漏洞入侵Cityworks软件的部分部署。

美国网路安全与基础设施安全局(Cybersecurity and Infrastructure Security Agency, CISA)于2月7日将CVE-2025-0994纳入其“已知遭利用漏洞”(Known Exploited Vulnerabilities, KEV)清单,并根据2021年11月发布的《具约束力操作指引》(Binding Operational Directive 22-01,BOD 22-01)要求联邦机构在三周内完成系统修补。

该网络安全机构警告,“此类漏洞是恶意网络攻击者的常见攻击载体,对联邦企业构成重大风险。”

几天后,即2月11日,CISA发布了一份咨询警告,要求水和污水处理系统、能源、交通系统、政府服务和设施以及通信领域的组织“立即安装更新版本”。

鉴于此类攻击带来的影响可能会相当严重,自该漏洞揭露出来之后就受到关注,最近上述进一步的细节公布了出来。

对中共骇客的起诉与制裁

参与危害美国网络的中共黑客,近期已经遭到多起起诉和制裁,这些黑客被指为中共国家支持的恶意网络组织。

3月5日,美国财政部外国资产控制办公室(OFAC)宣布,制裁周帅(Zhou Shuai,音译)及其公司上海黑鹰信息技术有限公司(Shanghai Heiying)。周帅与另一名已被美国制裁的黑客尹克臣(Yin Kechen,音译)合作,非法获取并出售美国关键基础设施网络的敏感数据。

3月5日,美国联邦法院起诉了12名中国公民参与恶意网络攻击行动,他们对包括“..;媒体集团”在内的多家企业或个人,实施了多次大规模骇客入侵。

根据美国司法部公布的起诉书,8名“安洵信息技术有限公司”(i-Soon)的员工及2名中共公安部官员,自2016年至2023年期间,大规模入侵海外电子邮件账户、手机、服务器和相关网站,收集敏感信息,提供给中共政权使用,并从中收取高额费用。资料显示,通过此类骇客行为,安洵公司营收数千万美元。

另外,一个名为“APT-27”骇客组织的两名成员也被指控从2013年起,利用网络漏洞,对受害者进行骇客入侵,安装如“PlugX木马”等恶意软件,持续获取数据,通过安洵公司出售给中共国安部和公安部。

(本文参考了BleepingComputer、!!:电视台的报导)

责任编辑: zhongkang  来源:..; 转载请注明作者、出处並保持完整。

本文网址:https://d3lxuwvwo1hamd.cloudfront.net/2025/0528/2225153.html