Хакери ги искористуваат ранливостите во Triofox за да инсталираат алатки за далечински пристап преку функцијата на антивирус

Mandiant Threat Defense на Google во понеделникот соопшти дека открил n-day експлоатација на сега-поправена безбедносна ранливост во платформата за споделување фајлови и далечински пристап Triofox на Gladinet.

Критичната ранливост, означена како CVE-2025-12480 (CVSS: 9.1), ѝ овозможува на напаѓачот да заобиколи автентикацијата и да пристапи до страниците за конфигурација, што резултира со отпремање и извршување на произволни имплементи (payloads).

Технолошкиот гигант соопшти дека набљудувал кластер на закани означен како UNC6485 кој ја оружил (искористувал) ранливоста уште од 24 август 2025 година, речиси еден месец откако Gladinet објави закрпи за ранливоста во верзијата 16.7.10368.56560. Вредни на забележување е дека CVE-2025-12480 е третата ранливост во Triofox што била активно експлоатирана само оваа година, по CVE-2025-30406 и CVE-2025-11371.

„Додадена заштита за почетните страници за конфигурација,“ стои во нотите за објавата на софтверот. „Овие страници веќе не може да се пристапат откако Triofox ќе биде поставен.“

Mandiant додава дека актерот кој претставува закана ја искористил ранливоста за неавтентификуван пристап за да добие пристап до страниците за конфигурација, а потоа ги искористил за да креира нов локален администраторски акаунт, Cluster Admin, преку процесот на поставување. Нова-креираниот акаунт подоцна бил искористен за понатамошни активности.

„За да оствари извршување на код, напаѓачот се најавил користејќи го новосоздадениот администраторски акаунт. Напаѓачот поставил злонамерни датотеки за да ги изврши преку вградената антивирусна функција,“ рекоа безбедносните истражувачи Stallone D’Souza, Praveeth DSouza, Bill Glynn, Kevin O’Flynn и Yash Gupta.

„При поставување на антивирусната функција, на корисникот му е дозволено да наведе произволна патека за избраниот антивирус. Датотеката конфигурирана како локација на антивирусниот скенер ги наследува привилегиите на родителскиот процес на Triofox, работeјќи во контекст на корисничкиот акаунт SYSTEM.“

Напаѓачите, според Mandiant, ја извршиле нивната злонамерна .bat скрипта („centre_report.bat“) така што ја конфигурирале патеката на антивирусниот мотор да покажува кон самата скрипта. Скриптата е дизајнирана да превземе инсталер за Zoho Unified Endpoint Management System (UEMS) од 84.200.80[.]252 и да го искористи за распоредување на програми за далечински пристап како Zoho Assist и AnyDesk на жртвениот хост. Далечинскиот пристап преку Zoho Assist бил искористен за разузнавање, по што следеле обиди за промена на лозинките на постоечките акаунти и додавање на тие акаунти во локалните администратори и во групата „Domain Admins“ со цел ескалација на привилегиите.

За да ја заобиколат детекцијата, операторите презеле алатки како Plink и PuTTY за да постават шифриран тунел кон командно-контролен (C2) сервер преку порт 433 користејќи SSH, со крајна цел да се овозможи влезен RDP сообраќај.

Иако конечната цел на кампањата останува непозната, се советува корисниците на Triofox да ја ажурираат инсталацијата на најновата верзија, да направат ревизија на администраторските акаунти и да проверат дека антивирусниот мотор на Triofox не е конфигуриран да извршува неовластени скрипти или бинарни датотеки.

Извори:

• The Hacker News – Hackers Exploiting Triofox Flaw to Install Remote Access Tools via Antivirus Feature The Hacker News