- CVE-2025-12480 in Triofox maakte zero-day-exploitatie mogelijk via onjuiste toegangscontrole
- UNC6485-aanvallers hebben Zoho Assist, AnyDesk en SSH-tunneling ingezet voor externe toegang
- Patch uitgebracht op 26 juli; nieuwere Triofox-versie beschikbaar op 14 oktober voor mitigatie
Het populaire platform voor het op afstand delen en samenwerken van bestanden Triofox bevatte een kritieke kwetsbaarheid die werd uitgebuit als een zero-day-tool die werd gebruikt om een tool voor externe toegang in te zetten die de aanvallers laterale bewegingsmogelijkheden gaf.
Beveiligingsonderzoekers van Google’s Mandiant en zijn Threat Intelligence Group (GTIG) merkten op dat Triofox wordt geleverd met een ingebouwde antivirusfunctie, die een ‘ongepaste toegangscontrole’-fout bevatte die toegang tot de initiële installatiepagina’s mogelijk maakte, zelfs nadat de installatie was voltooid.
De fout, bijgehouden als CVE-2025-12480 en kreeg een ernstscore van 9,1/10 (kritiek), werd hoogstwaarschijnlijk begin april 2025 geïntroduceerd en werd eind juli verholpen. De aanvallen werden echter bijna een maand later opgemerkt, wat erop wijst dat de slachtofferorganisatie de oplossing niet op tijd heeft aangebracht.
Wie is UNC6485?
De onderzoekers identificeerden de aanvallers als UNC6485, een aanvalscluster waarover in het verleden nog niet is gerapporteerd.
Omdat het Threat Intelligence Team van Google echter bekend staat om het opsporen van door de staat gesponsorde dreigingsactoren, is het veilig om aan te nemen dat deze groep banden zou kunnen hebben met natiestaten en dat het doel van de campagne ofwel gegevensdiefstal, ofwel cyberspionage en het verzamelen van inlichtingen was.
Bij de aanval op een niet bij naam genoemd slachtoffer gebruikten de bedreigingsactoren kwaadaardige code om Zoho UEMS in te zetten, waarmee ze Zoho Assist en AnyDesk installeerden – twee legitieme tools die hen zowel toegang op afstand als mogelijkheden voor zijdelingse verplaatsing verleenden.
Ze hebben ook de Plink- en PUTTY-tools ingezet om een SSH-tunnel te creëren en verkeer op afstand door te sturen.
Het beveiligingslek is op 26 juli verholpen met Triofox-versie 16.7.10368.56560, en gebruikers wordt geadviseerd de patch zo snel mogelijk toe te passen. Bovendien heeft Gladinet (het bedrijf achter Triofox) op 14 oktober een nieuwere versie uitgebracht, 16.10.10408.56683, die indien mogelijk nog beter te installeren zou zijn.
Via BleepingComputer
De beste antivirus voor elk budget
Volg TechRadar op Google Nieuws En voeg ons toe als voorkeursbron om ons deskundig nieuws, recensies en meningen in uw feeds te krijgen. Klik dan zeker op de knop Volgen!
En dat kan natuurlijk ook Volg TechRadar op TikTok voor nieuws, recensies, unboxings in videovorm en ontvang regelmatig updates van ons WhatsAppen te.
