Исследователи Mandiant сообщают об обнаружении злоумышленников | SecAtor

Исследователи Mandiant сообщают об обнаружении злоумышленников, которые использовали уже исправленную уязвимость в платформе обмена файлами и удаленного доступа Triofox компании Gladinet.

Критическая уязвимость отслеживается как CVE-2025-12480 (CVSS: 9,1), позволяет злоумышленнику обойти аутентификацию и получить доступ к страницам конфигурации, что приводит к загрузке и выполнению произвольных полезных нагрузок.

Mandiant установила, что кластер угроз UNC6485 нацелился на уязвимость ещё 24 августа 2025 года, почти через месяц после того, как поставщик выпустил исправления для нее версии 16.7.10368.56560.

Стоит отметить, что CVE-2025-12480 - это уже третья уязвимость Triofox, которая подверглась активной эксплуатации только в этом году, после CVE-2025-30406 и CVE-2025-11371.

По данным Mandiant, злоумышленник воспользовался уязвимостью неаутентифицированного доступа для получения доступа к страницам конфигурации, а затем использовал их для создания новой учётной записи администратора Cluster Admin, запустив процесс настройки.

Для выполнения кода злоумышленник вошёл в систему, используя недавно созданную учётную запись администратора.

Затем загрузил вредоносные файлы и выполнил их, используя встроенную функцию антивируса.

Для настройки антивирусной функции пользователь может указать произвольный путь к выбранному антивирусу.

Настроенный таким образом файл наследует привилегии учётной записи родительского процесса Triofox и запускается в контексте учётной записи SYSTEM.

Как отмечает Mandiant, злоумышленники запустили вредоносный пакетный скрипт (centre_report.bat), указав путь к нему в антивирусном движке.

Скрипт предназначен для загрузки установщика Zoho Unified Endpoint Management System (UEMS) с адреса 84.200.80[.]252 и развертывания на хосте программ удалённого доступа, таких как Zoho Assist и AnyDesk.

Удаленный доступ, реализуемый Zoho Assist, использовался для проведения разведки, после чего предпринимались попытки смены паролей существующих учетных записей и добавления их в локальные администраторы и группу администраторов домена для повышения привилегий.

Обход обнаружения осуществлялся через загрузку таких инструментов, как Plink и PuTTY, позволяющих настроить зашифрованный туннель к C2 через порт 433 по протоколу SSH с конечной целью разрешения входящего трафика RDP.

Пока конечная цель кампании остается неизвестной, но пользователям Triofox рекомендуется обновиться до последней версии, провести аудит учетных записей администраторов и убедиться, чтобы антивирусный движок не был настроен на выполнение несанкционированных скриптов или двоичных файлов.