Source:https://thehackernews.com/2025/11/hackers-exploiting-triofox-flaw-to.html
🛡 概要
Google傘下Mandiantは、Gladinet Triofoxの重大な認証バイパス脆弱性(CVE-2025-12480、CVSS 9.1)がパッチ公開後にn-dayとして悪用されていることを確認しました。攻撃者は初期設定ページへの未認証アクセスを足掛かりに管理者アカウント(Cluster Admin)を作成し、Triofoxの内蔵アンチウイルス機能設定を悪用してバッチファイルをSYSTEM権限で実行。Zoho UEMS経由でZoho AssistやAnyDeskなどのリモートアクセスツールを導入し、偵察や権限昇格、横展開を試みました。さらにPlinkやPuTTYでポート433のSSHトンネルを確立し、RDPの流入を可能にする手口が観測されています。既に修正は提供済み(例:16.7.10368.56560以降)。CVE-2025-30406やCVE-2025-11371に続く、2025年内三件目のTriofox悪用事例です。
🔍 技術詳細
本攻撃は、Triofoxの初期設定ページに未認証で到達できる不備を突き、セットアッププロセスを再実行して新規のネイティブ管理者アカウント(Cluster Admin)を作成するところから始まります。作成した管理者でログイン後、製品のアンチウイルス設定において「エンジン実行ファイルのパス」を任意に指定できる挙動を悪用。ここで攻撃者はバッチスクリプト centre_report.bat へのパスを設定し、Triofoxの親プロセス権限を継承したSYSTEMコンテキストで当該スクリプトを実行させます。このスクリプトは84.200.80[.]252からZoho Unified Endpoint Management System(UEMS)のインストーラを取得し、同UEMSを介してZoho AssistやAnyDeskといったリモートアクセスツールを導入します。
導入後、Zoho Assistでホスト上の偵察を行い、既存アカウントのパスワード変更やローカル管理者およびDomain Adminsグループへの追加を試行。さらにPlinkとPuTTYをダウンロードしてSSHトンネル(C2とTCP/433)を構築し、最終的にRDPの受け入れを可能にする経路を確保します。Mandiantは、悪用開始がパッチ公開の約1カ月後(2025-08-24頃)にさかのぼることを確認しており、いわゆるn-dayの典型的連鎖(未認証アクセス→管理者作成→SYSTEMでの任意コード実行→RAT導入→権限拡大→トンネリング→横移動)が成立しています。
⚠ 影響
Triofoxサーバの奪取は、機密ファイル共有の窃取・破壊、権限昇格によるドメイン全体の支配、RDP・SSHトンネルを通じた横展開と持続的な侵害につながります。Zoho AssistやAnyDeskなど合法ツールを用いるため検知回避されやすく、業務停止やインシデント対応コストの増大、規制対応・信用失墜のリスクが高まります。最終目的は未判明ながら、被害の範囲はサーバ単体に留まらない可能性が高い点に注意が必要です。
🛠 対策
- パッチ適用と設定強化:Triofoxを最新バージョン(例:16.7.10368.56560以降)へ更新。初期設定ページはセットアップ後に外部からアクセス不能であることを検証し、管理UIはVPNやゼロトラストで閉域化。
- AV機能設定の固定化:アンチウイルスエンジンのパスは製品提供の正規パスに限定し、書換時は変更承認フローと改ざん検知(整合性監視)を導入。AppLocker/WDACで任意バッチ・不明実行ファイルのSYSTEM実行を阻止。
- アカウント保護:管理者アカウントの棚卸しとMFA必須化。意図しないローカル/ドメイングループ追加をアラート。既存管理者のパスワード変更痕跡を監査。
- ネットワーク制御:SSH(特にTCP/433の異常ポート)やRDPの外向き/内向きフローを最小化。踏み台経由のジャンプ制御と強制記録。
- ツール制御:Zoho Assist・AnyDeskなどRAT/RMMの導入を許可制・署名検証・ハッシュ許可リスト化。未知のPlink/Puttyの取得・実行を検知・遮断。
- 監視強化:Triofoxサービスから派生するcmd.exe・bat・msiexec等のプロセス生成を高優先で監視し、SIEMに相関ルールを実装。
📌 SOC視点
- Triofoxアプリ/HTTPログ:セットアップ関連ページへのアクセス試行、設定変更、管理者作成操作の記録。
- Windowsセキュリティログ:4720(ユーザー作成)、4723/4724(パスワード変更/リセット)、4728/4732(Admin/Domain Adminsへの追加)、7045(新規サービス)、4624/4625(特にタイプ10のRDP)。
- プロセス監視:親がTriofoxサービスのcmd.exe・powershell.exe・msiexec.exe・centre_report.batの実行(Sysmon EID 1/11、Windows 4688)。
- ネットワーク監視:84.200.80[.]252への外向き通信、TCP/433のSSH、RDP 3389の新規許可(Sysmon 3、Windows 5156)。
- ファイル/ツールIOC:centre_report.bat、plink.exe、putty.exe、Zoho UEMS/Assist/AnyDeskのインストール痕跡。
- 検知ロジック例:Triofoxプロセスからの子プロセス生成、管理者グループ変更の連鎖、RAT導入直後の外向きトンネル確立の相関。
📈 MITRE ATT&CK
- TA0001 Initial Access / T1190 Exploit Public-Facing Application:未認証で初期設定ページに到達し設定を再実行。
- TA0003 Persistence / T1136 Create Account:Cluster Adminの新規作成で永続化。
- TA0004 Privilege Escalation / T1078 Valid Accounts:作成アカウントで管理者権限を取得し、さらにグループ追加で昇格。
- TA0002 Execution / T1059.003 Windows Command Shell:centre_report.batがcmd経由で実行。
- TA0005 Defense Evasion / T1219 Remote Access Software:正規RAT(Zoho Assist/AnyDesk)を悪用して目立たない遠隔操作。
- TA0011 Command and Control / T1572 Protocol Tunneling:Plink/SSHでポート433トンネルを構築。
- TA0008 Lateral Movement / T1021.001 Remote Services: RDP:トンネル経由でRDP横展開。
- TA0003/TA0004 / T1098 Account Manipulation:既存アカウントのパスワード変更・管理者グループ追加。
- TA0010 Exfiltration/TA0007 Discoveryは示唆あり(偵察)が、詳細不明のため割愛。
🏢 組織規模別助言
- 小規模(〜50名):まずは更新適用と管理UIの閉域化。RAT/RMMのインストールを原則禁止し、EDRの既定ポリシーでバッチ実行と不審トンネルを遮断。外部SOCがなければ、重要イベント(4720/4728/7045)のメール通知を簡易運用に。
- 中規模(50〜500名):脆弱性管理と変更管理を統合し、Triofox設定変更に承認フローを付与。AppLocker/WDACで実行制御、プロキシ/ファイアウォールでTCP/433を遮断。SIEMで親プロセスがTriofoxの子プロセス検知ルールを作成。
- 大規模(500名以上):ゼロトラストで管理プレーン分離、RAT/RMMはMDM/EMMで許可制・証跡必須に。脅威ハンティングでTriofox由来プロセス系統・トンネリングを定期サーチし、攻撃面最小化(ASR、LSA保護、特権アクセス管理)を徹底。
🔎 類似事例
- CVE-2025-30406(Triofox):2025年に観測された別脆弱性の悪用。
- CVE-2025-11371(Triofox):同年にアクティブ悪用と報告。
- CVE-2024-1709(ScreenConnect):リモート管理プラットフォームの重大欠陥を介したRMM濫用の好例。
🧭 次の一手
- Triofox更新と設定監査ガイド:初期設定ページ遮断とAV実行パス固定の手順確認。
- RAT/RMM統制のベストプラクティス:Zoho Assist/AnyDeskの許可制・記録・検知テンプレート整備。
- 検知プレイブック:Triofox親プロセスの子プロセス監視、TCP/433トンネル、管理者グループ変更イベントの相関ルール。
- 緊急対応チェックリスト:アカウント棚卸し、AV設定差分、IOC(centre_report.bat、84.200.80[.]252、plink/putty)スイープ。
