最近幾年,駭客針對檔案共用平臺下手的事故不時傳出,其中又以先前鎖定Oracle E-Business Suite(EBS)的勒索軟體駭客組織Clop,他們曾對Accellion、GoAnywhere、MOVEit,以及Cleo等多款檔案共用平臺發動大規模攻擊,由於這類系統往往會存放企業組織許多內部資料,一旦遭駭,很有可能導致機密外流,因此相關攻擊事故也格外容易成為資安圈關注的焦點。
例如,Google威脅情報團隊(GTIG)與資安業者Mandiant揭露駭客組織UNC6485的攻擊行動,就是這種型態的事故,攻擊者鎖定檔案共用平臺Gladinet Triofox,運用已知漏洞CVE-2025-12480從事攻擊。對此,GTIG與Mandiant呼籲IT人員應儘速升級至最新版本。
針對CVE-2025-12480造成的危害,攻擊者可用來繞過身分驗證流程,並存取應用程式的組態設定頁面,上傳並執行任何有效酬載,漏洞的CVSS風險評為9.1分(滿分10分),Gladinet於7月下旬發布Triofox的16.7.10368.56560版修補。
Mandiant發現一個月後UNC6485將此漏洞用於實際攻擊,他們透過名為Plink的公用程式建立遠端桌面連線(RDP)通道,並在Triofox伺服器進行可疑活動,將作案工具下載到特定電腦的暫存資料夾,過程中UNC6485利用CVE-2025-12480,並執行Triofox初始化設定,建立新的本機管理員帳號,並且用於後續活動。
透過這個管理員帳號,UNC6485上傳了惡意檔案,並透過Triofox內建的防毒功能執行。具體來說,他們將Triofox搭配的防毒引擎路徑指向惡意指令碼,藉此運用SYSTEM的權限來執行指令碼。只要在Triofox應用程式發布新的檔案共用,就會執行駭客事先設置的指令碼。
接著,UNC6485透過PowerShell命令下載第二階段有效酬載centre_report.bat,於受害主機執行合法的Zoho端點管理平臺Unified Endpoint Management System(UEMS)的安裝程式,然後再透過UEMS代理程式部署遠端管理工具Zoho Assist與AnyDesk。其中,他們透過Zoho Assist對網路環境進行偵察,並試圖竄改現有帳號的密碼,並加入本機管理員及網域管理員群組。
熱門新聞
2025-12-31
2025-12-31
2025-12-31
2025-12-31
2025-12-31
2025-12-31