11/11/25
Уязвимость CVE-2025-12480 позволяла обойти авторизацию и получить доступ к конфигурационным страницам веб-интерфейса, через которые атакующие создавали новые аккаунты администратора и загружали произвольные вредоносные файлы. Проблема была устранена в версии 16.7.10368.56560, однако до этого момента уязвимость уже использовалась как минимум одной группировкой, пишут в Securitylab.
Использование данной ошибки была замечена 24 августа 2025 года. Ответственность за атаку приписывается кластеру UNC6485. Преступники не просто получали административный доступ, но и комбинировали его с уязвимым функционалом встроенного антивируса, через который исполняли произвольный код от имени SYSTEM.
Обнаружение атаки началось с автоматического оповещения в системе, которая зафиксировала загрузку сторонних утилит и работу в системных директориях. Через 16 минут специалисты Mandiant подтвердили угрозу, изолировали хост и установили, что Triofox допускает обход авторизации через подделку заголовка Host. Если в запросе указать «localhost», сервер автоматически предоставлял доступ к AdminDatabase.aspx — странице первичной настройки, предназначенной только для локальных инсталляций.
Через эту страницу атакующие инициировали повторный запуск мастера установки и создавали полноценный системный аккаунт администратора под именем Cluster Admin. Такой доступ позволял полностью контролировать приложение и переходить к следующей стадии — загрузке вредоносных скриптов через механизм антивирусной проверки.
По архитектуре Triofox пользователь может задать произвольный путь до исполняемого файла, обозначенного как антивирусный движок. Загруженный скрипт затем вызывается с привилегиями родительского процесса, что даёт полный доступ к системе. Злоумышленники использовали эту особенность, чтобы запустить файл centre_report.bat, который через PowerShell скачивал следующий этап атаки — инсталлятор Zoho UEMS под видом ZIP-архива. После установки легитимного UEMS-агента они внедряли Zoho Assist и AnyDesk, закрепляясь на целевой системе.
Через удалённый доступ атакующие выполняли команды сбора информации: просмотр SMB-сессий, анализ пользователей, попытки смены паролей и добавления учётных записей в группы локальных и доменных администраторов. Для скрытого канала связи они загружали на сервер легитимные утилиты PuTTY и Plink (под именами silcon.exe и sihosts.exe), через которые открывали зашифрованный SSH-туннель на внешний C2-сервер. Этот канал позволял прокидывать RDP-трафик через порт 3389, обеспечивая полноценный удалённый контроль над заражённой машиной.
