黑客滥用Triofox防病毒功能部署远程访问工具

黑客利用Gladinet公司Triofox文件共享和远程访问平台中的关键漏洞及内置防病毒功能，实现了SYSTEM权限的远程代码执行。

此次攻击中利用的安全问题是CVE-2025-12480，可被用于绕过身份验证并获取应用程序设置页面的访问权限。

Google威胁情报小组（GTIG）的安全研究人员于8月24日发现了这一恶意活动，当时内部追踪为UNC6485的威胁集群攻击了一台运行4月3日发布的16.4.10317.56372版本的Triofox服务器。

CVE-2025-12480漏洞分析

CVE-2025-12480的根本原因是一个访问控制逻辑漏洞：当应用程序请求URL主机等于"localhost"时，会授予管理员访问权限。

这使得攻击者可以通过HTTP Host头欺骗此值，绕过所有身份验证检查。

Mandiant解释说，如果在web.config中未配置可选的TrustedHostIp参数，“localhost"检查将成为唯一的门卫，使默认安装面临未经身份验证的访问风险。

针对CVE-2025-12480的修复已在7月26日发布的Triofox版本16.7.10368.56560中提供，GTIG研究人员已与供应商确认该漏洞已得到解决。

Mandiant的调查确定，UNC6485通过在HTTP Referer URL中使用localhost发送HTTP GET请求来利用该漏洞。

研究人员解释说：“在来自外部源的请求中出现localhost主机头是非常不正常的，通常不会在合法流量中出现。”

这使得他们能够访问AdminDatabase.aspx配置页面，该页面在安装后用于设置Triofox。

通过设置工作流程，攻击者创建了一个名为"Cluster Admin"的新管理员账户，并使用它上传恶意脚本。然后他们配置Triofox使用其路径作为防病毒扫描程序的位置。

GTIG解释说：“配置为防病毒扫描程序位置的文件继承了Triofox父进程账户权限，在SYSTEM账户的上下文中运行”，允许攻击者实现代码执行。

研究人员表示，恶意批处理执行了一个PowerShell下载器，从外部地址获取另一个有效负载——Zoho UEMS安装程序。

Zoho UEMS被用于在受感染的主机上部署Zoho Assist和AnyDesk，这些工具被用于远程访问和横向移动操作。

攻击者还下载并使用了Plink和PuTTY工具来创建SSH隧道，并将远程流量转发到主机的RDP端口（3389）。

尽管Mandiant已验证被利用的漏洞（CVE-2025-12480）在Triofox 16.7.10368.56560中已得到解决，但他们建议系统管理员应用10月14日发布的版本16.10.10408.56683中的最新安全更新。

另一个建议是审计管理员账户，并检查Triofox的防病毒引擎是否未设置为运行未经授权的脚本或二进制文件。

GTIG的报告提供了一系列入侵指标（IoCs）以帮助防御者阻止这些攻击。详细信息也可在VirusTotal上获取。

上月，Huntress报告称，黑客正在利用Gladinet CentreStack和Triofox产品中的零日本地文件包含漏洞（CVE-2025-11371） 在未经身份验证的情况下访问系统文件。

该漏洞已被用于至少三次成功入侵公司网络，一周后在版本16.10.10408.56683（最新版本）中得到修复。