Nguyễn Đức Thao
Intern Writer
Theo Mandiant, lỗ hổng được định danh CVE-2025-12480 có điểm CVSS 9.1, cho phép bỏ qua xác thực và truy cập vào trang cấu hình của hệ thống, từ đó tải lên và thực thi mã độc.
Cụ thể, nhóm đe dọa có mã UNC6485 đã lợi dụng lỗ hổng này từ ngày 24/8/2025, gần một tháng sau khi Gladinet phát hành bản vá trong phiên bản 16.7.10368.56560. Đáng chú ý, đây là lỗ hổng thứ ba trong Triofox bị khai thác tích cực trong năm nay, sau CVE-2025-30406 và CVE-2025-11371.
Theo ghi chú phát hành, Gladinet đã “thêm cơ chế bảo vệ cho các trang cấu hình ban đầu” nhằm ngăn truy cập sau khi hệ thống thiết lập xong. Tuy nhiên, trong thời gian lỗ hổng chưa được vá, tin tặc đã chiếm quyền truy cập, tạo tài khoản quản trị mới “Cluster Admin” thông qua quy trình cài đặt lại, rồi sử dụng tài khoản này để thực hiện các hành động tấn công tiếp theo.
Tính năng này cho phép người dùng chỉ định đường dẫn tùy ý cho chương trình diệt vi-rút, và quá trình quét này được thực thi dưới quyền hệ thống (SYSTEM) – tức là đặc quyền cao nhất. Kẻ tấn công đã cấu hình đường dẫn này để trỏ đến một tập lệnh độc hại “centre_report.bat”, khiến hệ thống tự động tải xuống Zoho Unified Endpoint Management System (UEMS) từ địa chỉ IP 84.200.80[.]252, sau đó triển khai Zoho Assist và AnyDesk nhằm duy trì truy cập từ xa.
Sau khi có quyền truy cập, tin tặc tiến hành trinh sát, đổi mật khẩu tài khoản hiện có, và thêm người dùng vào nhóm quản trị viên cục bộ lẫn nhóm “Quản trị viên miền” để mở rộng quyền kiểm soát.
Để tránh bị phát hiện, chúng tải xuống công cụ Plink và PuTTY nhằm tạo đường hầm mã hóa (SSH tunnel) đến máy chủ điều khiển (C2) qua cổng 433, cho phép lưu lượng RDP được chuyển hướng an toàn. ( thehackernews )
Cụ thể, nhóm đe dọa có mã UNC6485 đã lợi dụng lỗ hổng này từ ngày 24/8/2025, gần một tháng sau khi Gladinet phát hành bản vá trong phiên bản 16.7.10368.56560. Đáng chú ý, đây là lỗ hổng thứ ba trong Triofox bị khai thác tích cực trong năm nay, sau CVE-2025-30406 và CVE-2025-11371.
Theo ghi chú phát hành, Gladinet đã “thêm cơ chế bảo vệ cho các trang cấu hình ban đầu” nhằm ngăn truy cập sau khi hệ thống thiết lập xong. Tuy nhiên, trong thời gian lỗ hổng chưa được vá, tin tặc đã chiếm quyền truy cập, tạo tài khoản quản trị mới “Cluster Admin” thông qua quy trình cài đặt lại, rồi sử dụng tài khoản này để thực hiện các hành động tấn công tiếp theo.
Tấn công lợi dụng tính năng diệt vi-rút để cài công cụ điều khiển từ xa
Các nhà nghiên cứu bảo mật Stallone D’Souza, Praveeth D’Souza, Bill Glynn, Kevin O’Flynn và Yash Gupta cho biết tin tặc đã đăng nhập bằng tài khoản quản trị mới và tải lên tệp độc hại thông qua tính năng chống vi-rút tích hợp của Triofox.Tính năng này cho phép người dùng chỉ định đường dẫn tùy ý cho chương trình diệt vi-rút, và quá trình quét này được thực thi dưới quyền hệ thống (SYSTEM) – tức là đặc quyền cao nhất. Kẻ tấn công đã cấu hình đường dẫn này để trỏ đến một tập lệnh độc hại “centre_report.bat”, khiến hệ thống tự động tải xuống Zoho Unified Endpoint Management System (UEMS) từ địa chỉ IP 84.200.80[.]252, sau đó triển khai Zoho Assist và AnyDesk nhằm duy trì truy cập từ xa.
Sau khi có quyền truy cập, tin tặc tiến hành trinh sát, đổi mật khẩu tài khoản hiện có, và thêm người dùng vào nhóm quản trị viên cục bộ lẫn nhóm “Quản trị viên miền” để mở rộng quyền kiểm soát.
Để tránh bị phát hiện, chúng tải xuống công cụ Plink và PuTTY nhằm tạo đường hầm mã hóa (SSH tunnel) đến máy chủ điều khiển (C2) qua cổng 433, cho phép lưu lượng RDP được chuyển hướng an toàn. ( thehackernews )
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
Sửa lần cuối bởi điều hành viên: