执行摘要
一个被识别为UNC6485的网络间谍组织正在积极利用Gladinet Triofox文件共享平台中的关键漏洞。该活动旨在获取初始网络访问权限、窃取数据并建立长期持久性。攻击者通过绕过认证创建管理员账户并部署远程访问工具。强烈建议使用Triofox的组织应用最新安全补丁、审计管理账户并监控可疑活动。
UNC6485背景
此活动是针对文件共享和远程访问解决方案的更广泛攻击趋势的一部分。威胁行为者UNC6485自2025年8月24日起至少将CVE-2025-12480作为零日漏洞进行利用。他们的主要目标是在目标网络中建立持久据点,以进行数据外泄和其他恶意活动。
UNC6485展示了对Triofox平台的深入理解。他们利用漏洞创建自己的管理账户,然后使用平台的内置功能执行恶意代码。这种方法使他们能够混入合法的管理活动中,使其行为难以检测。在后期利用中使用Zoho Assist和AnyDesk等合法远程访问工具,进一步突显了他们使用合法工具逃避安全控制的策略。
漏洞详情
- CVE-ID: CVE-2025-12480
- CVSS评分: 9.1
- EPSS评分: 0.03%
- 漏洞类型: 不当访问控制
- 受影响软件: Gladinet Triofox 16.7.10368.56560之前版本
- 已修复版本: Triofox 16.7.10368.56560及更高版本
- 根本原因: 该漏洞允许未经认证的攻击者访问Triofox平台的初始设置页面,即使设置过程已完成
感染方法
攻击遵循明确的事件序列:
- 初始访问: 攻击者识别易受攻击的未打补丁Triofox服务器
- 漏洞利用: 向目标服务器发送特制HTTP请求,其中"Host"标头设置为"localhost"。这会绕过访问控制并授予配置页面访问权限
- 有效负载投递: 从配置页面,攻击者重新运行初始设置过程以创建新的本地管理账户(通常命名为"Cluster Admin")。然后使用此新账户上传恶意文件。攻击者随后利用内置防病毒功能,配置其以SYSTEM级权限执行恶意脚本
- 命令与控制: 执行的有效负载通常涉及安装Zoho Assist和AnyDesk等合法远程访问工具。这些工具用于建立命令与控制通道以进行进一步操作
威胁行为者能力
初始入侵的主要目标是建立持久且隐蔽的通道进入受感染网络。观察到的能力包括:
- 远程访问和控制: 使用Zoho Assist等工具,攻击者可以执行命令、枚举活跃SMB会话并收集本地和域用户信息
- 权限提升: 观察到攻击者尝试更改现有账户密码并将其添加到本地和域管理员组
- 数据外泄和进一步入侵: 通过建立据点,攻击者能够外泄敏感数据并在网络内横向移动。为逃避检测,他们使用Plink和PuTTY等工具创建到其命令与控制服务器的加密隧道
使用技术
| 战术 | 技术ID | 技术名称 |
|---|---|---|
| 初始访问 | T1190 | 利用面向公众的应用程序 |
| 执行 | T1059.001 | 命令和脚本解释器:PowerShell |
| 持久性 | T1136.001 | 创建账户:本地账户 |
| 权限提升 | T1068 | 利用漏洞进行权限提升 |
| 防御规避 | T1070.004 | 主机上的指标移除:文件删除 |
| 发现 | T1087.001 | 账户发现:本地账户 |
| 命令与控制 | T1090.002 | 代理:外部代理 |
可视化攻击流程
[易受攻击的Triofox服务器被识别] → [通过HTTP Host标头攻击利用CVE-2025-12480] → [未经授权访问配置页面] → [创建新的"Cluster Admin"账户] → [通过防病毒功能上传恶意脚本] → [以SYSTEM权限执行脚本] → [安装远程访问工具(Zoho Assist、AnyDesk)] → [建立C2通道进行后期利用活动]
危害指标(IoC)
- 文件名: 通过防病毒功能上传的恶意批处理脚本或可执行文件。具体文件名尚未公开披露
- 相关恶意软件: 使用Zoho Assist和AnyDesk等合法远程访问工具进行后期利用。还注意到使用Plink和PuTTY创建加密隧道
威胁行为者归因
利用CVE-2025-12480的活动已被归因于Mandiant跟踪的威胁集群UNC6485。目前,UNC6485是已知积极利用此漏洞的主要组织。他们的战术、技术和程序(TTP)表明这是一个能够发现和利用零日漏洞的专注且熟练的对手。
缓解措施
- 补丁管理: 立即将所有Gladinet Triofox实例升级到16.7.10368.56560或最新可用版本,以修补CVE-2025-12480
- 审计管理账户: 定期审查和审计Triofox服务器上的所有管理账户。调查并删除任何未经授权或可疑的账户
- 防病毒配置审查: 验证Triofox内的防病毒引擎未配置为执行任何未经授权的脚本或二进制文件
- 网络监控: 监控异常出站流量,特别是连接到已知命令与控制服务器的连接或使用意外的远程访问工具
- 端点安全: 部署和维护最新的端点检测和响应(EDR)解决方案,以检测和响应运行Triofox的服务器上的可疑活动
- 访问控制: 实施严格的访问控制和防火墙规则,限制管理界面向互联网的暴露
使用Saner补丁管理即时修复风险
Saner补丁管理是一个连续、自动化和集成的软件,可即时修复在野外被利用的风险。该软件支持Windows、Linux和macOS等主要操作系统,以及550多个第三方应用程序。
它还允许您设置安全测试区域,以便在主生产环境中部署补丁之前测试补丁。Saner补丁管理额外支持补丁回滚功能,以防补丁失败或系统故障。