- TriofoxのCVE-2025-12480により、不適切なアクセス制御を通じてゼロデイ攻撃が可能に
- UNC6485の攻撃者がリモートアクセスのためにZoho Assist、AnyDesk、SSHトンネリングを展開
- パッチは7月26日にリリース、10月14日には新しいTriofoxバージョンが公開され対策可能に
人気のリモートファイル共有およびコラボレーションプラットフォームのTriofoxには、重大な脆弱性が存在し、ゼロデイとして悪用され、攻撃者に横方向への移動を可能にするリモートアクセスツールが展開されました。
GoogleのMandiantおよびその脅威インテリジェンスグループ(GTIG)のセキュリティ研究者は、Triofoxに組み込まれているアンチウイルス機能に「不適切なアクセス制御」の脆弱性があり、セットアップ完了後も初期設定ページにアクセスできてしまうことを指摘しました。
この脆弱性(CVE-2025-12480)は深刻度9.1/10(クリティカル)と評価されており、おそらく2025年4月初旬に導入され、7月下旬に修正されました。しかし、攻撃が発見されたのはそのほぼ1か月後であり、被害組織が修正を適用していなかったことが示唆されます。
UNC6485とは?
研究者は攻撃者をUNC6485と特定しましたが、この攻撃グループについてはこれまで報告がありませんでした。
ただし、Googleの脅威インテリジェンスチームは国家支援型の脅威アクターを追跡していることで知られているため、このグループが国家と関係している可能性や、キャンペーンの目的がデータ窃取、サイバースパイ活動、情報収集である可能性が高いと考えられます。
今回の攻撃では、匿名の被害者に対し、攻撃者は悪意のあるコードを使ってZoho UEMSを展開し、そこからZoho AssistとAnyDeskという2つの正規ツールをインストールしました。これにより、リモートアクセスと横方向移動の両方が可能となりました。
また、PlinkおよびPUTTYツールも使い、SSHトンネルを作成してリモートトラフィックを転送していました。
この脆弱性は7月26日にTriofoxバージョン16.7.10368.56560で修正されており、ユーザーはできるだけ早くパッチを適用することが推奨されています。さらに、Triofoxの開発元であるGladinetは、10月14日に新バージョン16.10.10408.56683をリリースしており、可能であればこちらをインストールするのがより望ましいでしょう。
