サイバーニュース.jp

世界のサイバーなニュースを配信

ハッカーがTriofoxのアンチウイルス機能を悪用しリモートアクセスツールを展開

カテゴリ:

概要

ハッカーがGladinet社のファイル共有およびリモートアクセスプラットフォーム「Triofox」のアンチウイルス機能と重大な脆弱性を悪用し、SYSTEM権限でのリモートコード実行に成功しました。この攻撃は、CVE-2025-12480として追跡されているセキュリティ上の欠陥を利用し、認証をバイパスしてアプリケーションのセットアップページへのアクセスを可能にしました。

Google Threat Intelligence Group (GTIG) のセキュリティ研究者は、2025年8月24日にこの悪意ある活動を発見しました。内部でUNC6485と追跡されている脅威グループが、2025年4月3日にリリースされたTriofoxバージョン16.4.10317.56372を実行しているサーバーを標的にしていました。

脆弱性の詳細:CVE-2025-12480

CVE-2025-12480の根本原因は、アクセス制御ロジックのギャップにあります。アプリケーションのリクエストURLホストが「localhost」と等しい場合に管理者アクセスが許可されるというものです。攻撃者は、HTTP Hostヘッダーを介してこの値を偽装することで、すべての認証チェックをバイパスできます。

Mandiantは、オプションのTrustedHostIpパラメータがweb.configで設定されていない場合、「localhost」チェックが唯一のゲートキーパーとなり、デフォルトのインストールが認証なしのアクセスにさらされると説明しています。

この脆弱性に対する修正は、2025年7月26日にリリースされたTriofoxバージョン16.7.10368.56560で提供されており、GTIGの研究者もベンダーと協力してこの欠陥が対処されたことを確認しています。

アンチウイルス機能の悪用

Mandiantの調査によると、UNC6485はHTTP Referer URLに「localhost」を含むHTTP GETリクエストを送信することで脆弱性を悪用しました。研究者らは、「外部ソースから発信されたリクエストにlocalhostホストヘッダーが存在することは非常に異常であり、通常、正当なトラフィックでは予期されない」と説明しています。

これにより、攻撃者はAdminDatabase.aspx設定ページにアクセスし、インストール後にTriofoxをセットアップするワークフローを利用しました。攻撃者は「Cluster Admin」という新しい管理者アカウントを作成し、それを使用して悪意のあるスクリプトをアップロードしました。その後、Triofoxのアンチウイルススキャナーの場所として、そのスクリプトのパスを設定しました。

GTIGは、「アンチウイルススキャナーの場所として設定されたファイルは、Triofoxの親プロセスアカウントの権限を継承し、SYSTEMアカウントのコンテキストで実行されるため、攻撃者はコード実行を達成できる」と説明しています。研究者によると、悪意のあるバッチファイルはPowerShellダウンローダーを実行し、外部アドレスから別のペイロードであるZoho UEMSインストーラーをフェッチしました。

攻撃後の活動

Zoho UEMSは、侵害されたホストにZoho AssistとAnyDeskを展開するために使用され、これらはリモートアクセスとラテラルムーブメント操作に利用されました。攻撃者はまた、PlinkとPuTTYツールをダウンロードして使用し、SSHトンネルを作成してリモートトラフィックをホストのRDPポート(3389)に転送しました。

推奨事項

Mandiantは、脆弱性(CVE-2025-12480)がTriofox 16.7.10368.56560で対処されたことを確認していますが、システム管理者は2025年10月14日にリリースされたバージョン16.10.10408.56683に含まれる最新のセキュリティアップデートを適用することを推奨しています。

その他の推奨事項は以下の通りです。

  • 管理者アカウントの監査。
  • Triofoxのアンチウイルスエンジンが不正なスクリプトやバイナリを実行するように設定されていないか確認。

GTIGのレポートには、これらの攻撃を阻止するのに役立つ侵害の痕跡(IoC)のリストが提供されており、詳細はVirusTotalでも入手可能です。

先月、Huntressは、ハッカーがGladinet CentreStackおよびTriofox製品のゼロデイローカルファイルインクルージョン脆弱性(CVE-2025-11371)を悪用し、認証なしでシステムファイルにアクセスしていたと報告しました。この欠陥は、少なくとも3件の企業ネットワークへの侵入に利用され、1週間後にバージョン16.10.10408.56683(最新)で修正されました。

元記事: https://www.bleepingcomputer.com/news/security/hackers-abuse-triofox-antivirus-feature-to-deploy-remote-access-tools/

投稿をさらに読み込む