Эксперты Mandiant Threat Defense обнаружили активную эксплуатацию уязвимости в платформе для совместной работы с файлами и удаленного доступа Triofox от компании Gladinet. Уязвимость, получившая идентификатор CVE-2025-12480, позволяла злоумышленникам обходить аутентификацию и получать доступ к страницам конфигурации приложения. В результате возникала возможность загрузки и выполнения произвольных вредоносных payload (полезных нагрузок).
Описание
Согласно данным расследования, уже 24 августа 2025 года группа угроз UNC6485, отслеживаемая Google Threat Intelligence Group, успешно использовала эту уязвимость. Более того, злоумышленники сочетали ее со злоупотреблением встроенной антивирусной функцией для достижения выполнения кода. Данная активность затрагивала Triofox версии 16.4.10317.56372, при этом проблема была устранена в выпуске 16.7.10368.56560.
Обнаружение инцидента стало возможным благодаря системе Google Security Operations, которую использует Mandiant. Композитное оповещение детектировало потенциальную активность злоумышленников на сервере Triofox заказчика. В частности, были зафиксированы развертывание и использование утилит удаленного доступа, таких как PLINK для туннелирования RDP, а также подозрительная файловая активность во временных каталогах. Всего за 16 минут с начала расследования специалисты Mandiant подтвердили угрозу и инициировали процедуры изоляции затронутого хоста.
Анализ показал, что уязвимость несанкционированного доступа позволяла обращаться к конфигурационным страницам. Группа UNC6485 использовала эти страницы для запуска первоначального процесса настройки Triofox, чтобы создать новую учетную запись администратора с правами Cluster Admin. Именно эта учетная запись впоследствии применялась для дальнейших действий.
Ключевым элементом атаки стала техника HTTP host header attack (атака с подменой заголовка Host). Исследователи Mandiant обнаружили в HTTP-журнале аномальную запись с HTTP Referer, содержащим localhost. При стандартных условиях запросы к страницам AdminAccount.aspx и AdminDatabase.aspx перенаправлялись на страницу Access Denied, что свидетельствовало о работе механизмов контроля доступа. Однако изменение значения Host заголовка на localhost предоставляло доступ к странице AdminDatabase.aspx, что и стало основной точкой входа для злоумышленников.
Анализ кодовой базы выявил, что главная проверка контроля доступа к странице AdminDatabase.aspx осуществляется функцией CanRunCriticalPage(). Данная функция, находящаяся в классе GladPageUILib.GladBasePage, содержала несколько критических недостатков. Во-первых, она некорректно проверяла значение заголовка Host, предоставляемого клиентом, который легко подделывается атакующим. Во-вторых, отсутствовала проверка происхождения запроса, то есть не отличался реальный локальный доступ от поддельного заголовка. В-третьих, защита зависела от конфигурации TrustedHostIP, и если этот параметр не был настроен, единственной защитой оставалась проверка заголовка Host.
Для достижения выполнения кода злоумышленники, войдя под созданной учетной записью администратора, злоупотребили встроенной антивирусной функцией Triofox. Данная функция позволяла пользователю указывать произвольный путь к антивирусному сканеру. Файл, указанный в качестве антивирусного движка, наследовал привилегии родительского процесса Triofox, работающего под учетной записью SYSTEM. Атакующие настроили путь к антивирусному движку на свой вредоносный batch-скрипт, после чего загрузка любого файла в опубликованную общую папку вызывала выполнение этого скрипта.
Телеметрия SecOps зафиксировала выполнение скрипта centre_report.bat, который, в свою очередь, запускал PowerShell-команду для загрузки и выполнения payload следующей стадии. Загружаемый файл, маскирующийся под архив ZIP, на самом деле являлся установщиком легитимного программного обеспечения Zoho Unified Endpoint Management System. Используя агент UEMS, злоумышленники развернули на хосте утилиты удаленного доступа Zoho Assist и AnyDesk.
На этапе пост-эксплуатации атакующие использовали Zoho Assist для проведения рекогносцировки. Они выполняли различные команды для перечисления активных SMB-сессий и сбора информации о конкретных локальных и доменных пользователях. Кроме того, предпринимались попытки изменения паролей существующих учетных записей и добавления их в группы локальных администраторов и Domain Admins.
Для обороны и уклонения от обнаружения злоумышленники загрузили в каталог C:\windows\temp\ утилиты sihosts.exe и silcon.exe с легитимного домена the.earth[.]li. Эти инструменты, представляющие собой Plink и PuTTY, использовались для создания зашифрованного туннеля SSH. Туннель соединял скомпрометированный хост с командным сервером через порт 433, позволяя перенаправлять весь трафик на порт 3389 хоста, что открывало возможность входящего RDP-доступа.
Несмотря на то что уязвимость устранена в версии Triofox 16.7.10368.56560, специалисты Mandiant рекомендуют обновиться до последнего доступного релиза. Дополнительно предлагается провести аудит учетных записей администраторов и убедиться, что функция Anti-virus Engine не настроена на выполнение несанкционированных скриптов или бинарных файлов. Командам безопасности также следует осуществлять поиск инструментов злоумышленников с использованием предоставленных запросов для охоты за угрозами и мониторить аномальный исходящий SSH-трафик.
Индикаторы компрометации
IPv4
- 216.107.136.46
- 65.109.204.197
- 84.200.80.252
- 85.239.63.37
SHA256
- 16cbe40fb24ce2d422afddb5a90a5801ced32ef52c22c2fc77b25a90837f28ad
- 43c455274d41e58132be7f66139566a941190ceba46082eb2ad7a6a261bfd63f
- 50479953865b30775056441b10fdcb984126ba4f98af4f64756902a807b453e7
- ac7f226bdf1c6750afa6a03da2b483eee2ef02cd9c2d6af71ea7c6a9a4eace2f
