- CVE-2025-12480 in Triofox maakte zero-day-exploit mogelijk via onjuiste toegangscontrole
- UNC6485-aanvallers hebben Zoho Assist, AnyDesk en SSH-tunneling ingezet voor externe toegang
- Patch uitgebracht op 26 juli; nieuwere Triofox-versie beschikbaar op 14 oktober voor herstel
Het populaire externe platform voor het delen en samenwerken van bestanden Triofox bevatte een kritieke kwetsbaarheid die als zero-day werd uitgebuit om een tool voor externe toegang in te zetten die aanvallers zijdelingse bewegingen mogelijk maakte.
Beveiligingsonderzoekers van Google’s Mandiant en zijn Threat Intelligence Group (GTIG) hebben aangegeven dat Triofox wordt geleverd met een ingebouwde antivirusfunctie die een “ongepaste toegangscontrole”-fout bevat die toegang tot de initiële installatiepagina’s mogelijk maakte, zelfs nadat de installatie was voltooid.
De bug, bijgehouden als CVE-2025-12480 en kreeg een ernstscore van 9,1/10 (kritiek), werd hoogstwaarschijnlijk begin april 2025 geïntroduceerd en werd eind juli opgelost. De aanvallen werden echter bijna een maand later ontdekt, wat erop wijst dat de slachtofferorganisatie de patch niet tijdig heeft aangebracht.
Wie is UNC6485?
De onderzoekers identificeerden de aanvallers als UNC6485, een aanvalscluster dat nog niet eerder is gerapporteerd.
Maar aangezien het Threat Intelligence Team van Google bekend staat om het opsporen van door de staat gesponsorde dreigingsactoren, is het veilig om aan te nemen dat deze groep banden zou kunnen hebben met natiestaten en dat het doel van de campagne datadiefstal of cyberspionage en het verzamelen van inlichtingen was.
Bij de aanval op een niet bij naam genoemd slachtoffer gebruikten de bedreigingsactoren kwaadaardige code om Zoho UEMS in te zetten, waarmee ze Zoho Assist en AnyDesk installeerden – twee legitieme tools die hen zowel toegang op afstand als mogelijkheden voor laterale beweging gaven.
Ze implementeerden ook de Plink- en PUTTY-tools om een SSH-tunnel te creëren en verkeer op afstand door te sturen.
Het beveiligingslek is op 26 juli verholpen met Triofox versie 16.7.10368.56560 en gebruikers wordt geadviseerd de patch zo snel mogelijk toe te passen. Bovendien heeft Gladinet (het bedrijf achter Triofox) op 14 oktober een nieuwere versie uitgebracht, 16.10.10408.56683, die indien mogelijk nog beter te installeren zou zijn.
Via Piepende computer
De beste antivirus voor elk budget
Volg TechRadar op Google Nieuws En voeg ons toe als voorkeursbron om ons deskundig nieuws, recensies en meningen in uw feeds te krijgen. Klik dan zeker op de knop Volgen!
En jij kunt dat natuurlijk ook Volg TechRadar op TikTok voor nieuws, recensies, video-unboxings en ontvang regelmatig updates van ons WhatsAppen Ook.
