Triofox под кайфом

Баг в файлообменнике позволил хакерам прописать RAT через «антивирус»

Triofox, похоже, решил устроить вечеринку для злоумышленников: дырка в панели настройки (CVE-2025-12480) дала возможность незваным гостям пройти в конфиг, создать себе админку и заставить встроенный «антивирус» запускать чужие скрипты под SYSTEM. И всё это — с полтинник чарта CVSS 9.1 и в духе «просто настройте путь к антивиру, а дальше он уже всё сделает за вас».

Mandiant (а точнее их подразделение по угрозам) заметили эту коллекцию штук ещё в августе 2025-го — UNC6485 шлёпали эксплойты через n-day окна, почти месяц спустя после патча Gladinet. Сюрприз в том, что это уже третий раз в этом году, когда Triofox светит дырами (да, перед этим были CVE-2025-30406 и CVE-2025-11371), так что продукт явно в мастерах «неожиданных апдейт-экспириенсов».

Сценарий атаки — кино одноактное, но постановка дельная: уязвимость позволяла получить доступ к страницам конфигурации без логина. Дальше — стандартный набор злодея: запустить setup, создать нативную админскую учётку «Cluster Admin», залогиниться под ней и засунуть в «антивирус» то, что хочется. И тут всё становится страшно просто: Triofox даёт указать произвольный путь к исполняемому файлу антивируса. Окей, ставим путь на centre_report.bat, батник запускается от имени процесса Triofox, который работает как SYSTEM — привет, полный набор привилегий.

Что внутри centre_report.bat? Скрипт тянет установщик Zoho UEMS с IP 84.200.80[.]252 и швыряет на систему UEMS/Zoho Assist/AnyDesk — инструменты удалённого доступа, которые используют белые админы для администрирования, а злоумышленники — для дворцового переворота. С Zoho Assist они делают рекогносцировку, перебирают пароли, добавляют свои аккаунты в локальные админы и в Domain Admins — классика жанра: вломались через трещинку, прописались в эпицентре, поставили дверь в дом и начали пить чай.

Чтобы не светиться в логах и не блеснуть как любопытный турист, атакующие закачивали Plink и PuTTY и ставили SSH-туннель к C2 по порту 433. Через него пробрасывали входящий RDP — очень удобно: внешнему оператору не надо лезть через файрвол, он просто заходит через зашифрованный туннель и рулит системой как будто так и надо. Вдобавок, использование легитимного ПО (Zoho, AnyDesk) серьёзно мешает базовой детекции — «это же легитимный продукт», скажет антивир, и это будет правда… пока не начнётся перебор привилегий.

Тактика проста и опасна: n-day уязвимость → доступ к конфигу → создание учётки → использование механизма «антивируса» как местного запускателя кода → deploy RAT → прокладка SSH → RDP inbound. Mandiant отмечает, что именно привязка исполняемого пути антивируса к правам SYSTEM — ключевой момент. Если продукт позволяет тебе указывать исполняемый файл без валидации, ты фактически дал любой фигне права root-пользователя. И злоумышленники этим пользуются.

UNC6485 в этой кампании выглядят методично: они не просто ставят бэкдор и скачут. Они разворачивают инструменты для дальнейшего проникновения, устанавливают средства постоянного доступа и обеспечивают защищённый туннель для возврата. По словам аналитиков, цель могла быть разной — от простого создания «складского» удалённого доступа до развертывания масштабных постэксплуатационных операций (перехват дампов, lateral movement, привилегирование, эксфил и т.д.).