Cảnh báo lỗ hổng nghiêm trọng trong Triofox: Hacker lợi dụng tính năng antivirus để cài công cụ điều khiển từ xa

Nhiều chuyên gia an ninh mạng cảnh báo hacker đang khai thác lỗ hổng nguy hiểm trong nền tảng chia sẻ tệp Triofox, cho phép truy cập trái phép và cài đặt phần mềm điều khiển từ xa ngay trên hệ thống nạn nhân.

hóm chuyên gia bảo mật từ Google Mandiant Threat Defense vừa phát hiện chiến dịch tấn công khai thác lỗ hổng nghiêm trọng trong nền tảng Triofox của Gladinet – công cụ chia sẻ tệp và truy cập từ xa phổ biến trong môi trường doanh nghiệp. Lỗ hổng, được định danh CVE-2025-12480 với điểm CVSS 9.1, cho phép tin tặc bỏ qua cơ chế xác thực và truy cập vào các trang cấu hình hệ thống, từ đó tải lên và thực thi mã độc tùy ý.

Theo báo cáo, nhóm tấn công UNC6485 đã lợi dụng điểm yếu này từ cuối tháng 8/2025, chỉ vài tuần sau khi Gladinet tung bản vá trong phiên bản 16.7.10368.56560. Đây là lỗ hổng Triofox thứ ba bị khai thác trong năm 2025, sau các mã lỗi CVE-2025-30406 và CVE-2025-11371.

Sau khi truy cập được trang cấu hình, kẻ tấn công tạo tài khoản quản trị viên mới “Cluster Admin” và sử dụng tài khoản này để thực hiện các hành động tiếp theo. Chúng khai thác tính năng antivirus tích hợp của Triofox – vốn cho phép người dùng chỉ định đường dẫn cho phần mềm quét virus – để trỏ đến một tập tin batch độc hại “centre_report.bat”, giả dạng công cụ quét. Tập tin này được chạy dưới quyền SYSTEM, quyền cao nhất trên Windows, và tải về trình cài đặt Zoho Unified Endpoint Management System (UEMS) từ máy chủ bên ngoài (84.200.80[.]252), sau đó cài đặt Zoho Assist và AnyDesk nhằm điều khiển từ xa hệ thống nạn nhân.

Sau khi chiếm quyền điều khiển, hacker tiến hành do thám hệ thống, thay đổi mật khẩu, thêm tài khoản vào nhóm quản trị viên miền (Domain Admins) để leo thang đặc quyền. Để tránh bị phát hiện, chúng sử dụng Plink và PuTTY thiết lập đường hầm SSH mã hóa, mở cổng RDP cho truy cập từ xa và liên lạc với máy chủ điều khiển (C2) thông qua cổng 433.

Hiện chưa rõ mục tiêu cuối cùng của chiến dịch, nhưng các chuyên gia an ninh mạng khuyến cáo người dùng Triofox cần nhanh chóng:

• Cập nhật lên phiên bản mới nhất có vá lỗi.

• Kiểm tra và giới hạn tài khoản quản trị viên hiện có.

• Xác minh cấu hình antivirus để đảm bảo không bị trỏ tới tập tin hoặc script trái phép.

• Theo dõi nhật ký truy cập và kết nối bất thường để phát hiện sớm dấu hiệu xâm nhập.

Những lỗ hổng như CVE-2025-12480 là lời cảnh báo về tầm quan trọng của việc thường xuyên cập nhật phần mềm và kiểm soát nghiêm ngặt các chức năng có quyền hệ thống, nhằm bảo vệ tối đa bảo mật, an ninh mạng và quyền riêng tư trong môi trường doanh nghiệp.

Hương - Theo TheHackerNews