黑客利用Triofox漏洞通过杀毒功能安装远程访问工具

谷歌Mandiant威胁防御团队周一表示，发现黑客对Gladinet公司Triofox文件共享和远程访问平台中一个已修复安全漏洞进行了n-day利用。

这个关键漏洞被标记为CVE-2025-12480（CVSS评分：9.1），允许攻击者绕过身份验证访问配置页面，从而导致任意载荷的上传和执行。

这家科技巨头表示，他们观察到追踪为UNC6485的威胁组织最早在2025年8月24日就开始武器化利用该漏洞，这距离Gladinet在版本16.7.10368.56560中发布补丁还不到一个月。值得注意的是，CVE-2025-12480是Triofox今年继CVE-2025-30406和CVE-2025-11371之后第三个被主动利用的漏洞。

根据该软件的发布说明，“为初始配置页面增加了保护”，“这些页面在Triofox设置完成后将无法再访问”。

Mandiant表示，威胁行为者武器化了这个无需认证的访问漏洞来获取配置页面的访问权限，然后通过运行设置过程创建了一个新的本地管理员账户"Cluster Admin"。随后使用新创建的账户进行后续活动。

“为了实现代码执行，攻击者使用新创建的管理员账户登录。攻击者上传恶意文件，利用内置的杀毒功能来执行这些文件，“安全研究人员Stallone D’Souza、Praveeth DSouza、Bill Glynn、Kevin O’Flynn和Yash Gupta表示。

“在设置杀毒功能时，用户可以为所选杀毒软件提供任意路径。配置为杀毒扫描器位置的文件继承了Triofox父进程账户权限，在SYSTEM账户的上下文中运行。”

根据Mandiant的说法，攻击者通过将杀毒引擎路径配置为指向其恶意批处理脚本（“centre_report.bat”）来运行该脚本。该脚本旨在从84.200.80[.]252下载Zoho统一端点管理系统（UEMS）的安装程序，并使用它在主机上部署Zoho Assist和AnyDesk等远程访问程序。

攻击者利用Zoho Assist提供的远程访问进行侦察，随后尝试更改现有账户的密码，并将它们添加到本地管理员和"Domain Admins"组中以实现权限提升。

为了规避检测，威胁行为者下载了Plink和PuTTY等工具，通过SSH在433端口上建立到命令与控制（C2）服务器的加密隧道，最终目标是允许入站RDP流量。

虽然此次攻击活动的最终目标仍不明确，但建议Triofox用户更新到最新版本，审计管理员账户，并验证Triofox的杀毒引擎未配置为执行未经授权的脚本或二进制文件。