サイバー脅威アクターは、GladinetのTriofoxというファイル共有およびリモートアクセスプラットフォームの脆弱性を悪用し、組み込みのアンチウイルス機能の悪用と組み合わせてコード実行を達成しています。
この脅威活動クラスターは、GoogleのMandiant Threat DefenseおよびGoogle Threat Intelligence Group(GTIG)によってUNC6485として追跡されていると、11月10日に公開された新しいレポートで報告されています。
この脆弱性CVE-2025-12480は、Mandiantによって11月10日に発見・報告されました。これはTriofoxのバージョン16.7.10368.56560より前のバージョンに影響を与える、重大な不適切なアクセス制御の脆弱性(CVSS: 9.8)です。
悪用された場合、攻撃者はセットアップ完了後でも初期セットアップページにアクセスでき、任意のペイロードのアップロードと実行が可能になります。
Googleは脆弱性を公開する前にGladinetに連絡しました。
テックジャイアントは、ソフトウェアの所有者が修正済みバージョンのTriofox(16.7.10368.56560)を6月にリリースしたことを確認しました。
しかし、悪用キャンペーンは8月に開始され、UNC6485が古いバージョンのTriofoxでCVE-2025-12480を悪用しました。
UNC64485はCVE-2025-12480をどのように悪用したか
Mandiantはセキュリティインシデント対応中に悪意のあるキャンペーンを検知し、2025年8月14日に開始されたと評価しました。
研究者はHTTPログファイルで異常なエントリ(localhostのホストヘッダー)を特定しました。これは外部からのリクエストで「非常に異常」であり、「正当なトラフィックでは通常期待されない」と説明しています。
「調査により、認証されていないアクセス脆弱性が判明し、設定ページへのアクセスが可能でした。UNC6485はこれらのページを利用してTriofoxの初期セットアッププロセスを実行し、新しいネイティブ管理者アカウントであるCluster Adminを作成し、このアカウントを使って後続の活動を行いました」とMandiantとGTIGの研究者はレポートで述べています。
Mandiantは、攻撃者がリクエスト内のlocalhostを偽装することでHTTP Hostヘッダーの脆弱性を悪用し、通常は制限されているAdminDatabase.aspxセットアップページへのアクセス制御を回避したことを発見しました。
CanRunCriticalPage()関数が未検証のホストヘッダーのみに依存していたというこの誤設定を悪用することで、Triofoxの初期化プロセスを引き起こし、完全な権限を持つ新しいネイティブ「Cluster Admin」アカウントを作成しました。
この欠陥は、オリジン検証の欠如とホストヘッダーへの過度な依存に起因し、認証されていないリモートアクセスで重要な設定ページにアクセス可能となっていました。
コード実行を達成するために、攻撃者は新たに作成した管理者アカウントでログインし、組み込みのアンチウイルス機能を利用して悪意のあるファイルをアップロード・実行しました。
アンチウイルス機能を設定する際、ユーザーは選択したアンチウイルスの任意のパスを指定できます。アンチウイルススキャナーの場所として設定されたファイルはTriofoxの親プロセスアカウント権限を継承し、SYSTEMアカウントのコンテキストで実行されます。
攻撃者は、アンチウイルスエンジンのパスを自分たちのスクリプトに設定することで、悪意のあるバッチスクリプトを実行できました。
その後、Triofoxインスタンス内の公開共有に任意のファイルをアップロードすることで、設定されたスクリプトが実行されます。
CVE-2025-12480 exploitation chain. Source: Google Cloud"/>初期アクセスを得た後、攻撃者はPowerShellを介して偽装したZoho Unified Endpoint Management System(UEMS)インストーラーを展開し、Zoho AssistとAnyDeskをリモートコントロール用に導入しました。
攻撃者はこれらのツールを使ってServer Message Block(SMB)セッションを列挙し、ドメイン/管理者グループのメンバーシップを変更して権限を昇格させ、認証情報を流出させました。
永続化と回避のため、Plink/PuTTYを使ってSSHトンネルをC2サーバーに確立し、ポート433経由でリモートデスクトッププロトコル(RDP)への隠密なアクセスを可能にし、トラフィックを正規のリモート管理活動に偽装しました。
Triofoxのアップグレード、管理者アカウントの監査、攻撃者ツールの検出を
CVE-2025-12480の脆弱性は6月以降修正されていますが、Mandiantが特定した悪意のあるキャンペーンは、8月に脅威アクターが未修正のTriofoxバージョンを悪用していた証拠を示しています。
そのため、GTIGのレポートはTriofoxユーザーに対し、最新リリースへのアップグレードだけでなく、管理者アカウントの監査や、Triofoxのアンチウイルスエンジンが不正なスクリプトやバイナリの実行に設定されていないことの確認も推奨しています。
「セキュリティチームは、本記事の末尾に記載したハンティングクエリを使って攻撃者ツールを検出し、異常なアウトバウンドSSHトラフィックを監視するべきです」とレポートは締めくくっています。
Triofoxに影響する別の脆弱性であるCVE-2025-11371も、最近米国サイバーセキュリティ・インフラセキュリティ庁(CISA)の既知の悪用済み脆弱性カタログ(KEV)に追加されました。
翻訳元: https://www.infosecurity-magazine.com/news/hackers-exploit-critical-flaw/
