แฮกเกอร์โจมตีช่องโหว่ Triofox! ใช้ "ฟีเจอร์แอนตี้ไวรัส" ติดตั้งเครื่องมือควบคุมระยะไกล

Published:


Google's Mandiant Threat Defense เปิดเผยเมื่อวันจันทร์ที่ผ่านมาว่า ได้ตรวจพบการโจมตีแบบ "n-day" (โจมตีช่องโหว่ที่ผู้ผลิตได้ออกแพตช์แก้ไขไปแล้ว) บนแพลตฟอร์มแชร์ไฟล์และเข้าถึงระยะไกล Triofox ของ Gladinet

ช่องโหว่ร้ายแรงดังกล่าวมีรหัสติดตามคือ CVE-2025-12480 (คะแนน CVSS: 9.1) ซึ่งอนุญาตให้ผู้โจมตีสามารถ ข้ามการตรวจสอบสิทธิ์ (Authentication Bypass) และเข้าถึงหน้าการตั้งค่าคอนฟิกูเรชันได้ ส่งผลให้สามารถอัปโหลดและรันโค้ดอันตราย (Arbitrary Payloads) ได้ตามต้องการ

Mandiant ระบุว่า พวกเขาพบกลุ่มภัยคุกคามที่ติดตามในชื่อ UNC6485 ได้ใช้ช่องโหว่นี้เป็นอาวุธโจมตีมาตั้งแต่วันที่ 24 สิงหาคม 2025 ซึ่งเกือบหนึ่งเดือนหลังจากที่ Gladinet ได้ปล่อยแพตช์แก้ไขในเวอร์ชัน 16.7.10368.56560 ไปแล้ว (น่าสังเกตว่า CVE-2025-12480 เป็นช่องโหว่ที่สามของ Triofox ที่ถูกโจมตีอย่างหนักในปีนี้ ตามหลัง CVE-2025-30406 และ CVE-2025-11371)

กลยุทธ์การโจมตีสุดแยบยล: แอบใช้ฟีเจอร์แอนตี้ไวรัส!

Mandiant อธิบายว่า ผู้โจมตีใช้ช่องโหว่ข้ามการตรวจสอบสิทธิ์เพื่อเข้าถึงหน้าการตั้งค่า แล้ว รันกระบวนการตั้งค่า (setup process) เพื่อสร้างบัญชีแอดมินใหม่ (Cluster Admin) จากนั้นจึงใช้บัญชีที่สร้างขึ้นใหม่นี้ในการดำเนินการขั้นต่อไป

นักวิจัยด้านความปลอดภัยเปิดเผยกลวิธีที่น่าสนใจ:

"เพื่อให้สามารถรันโค้ดได้ ผู้โจมตีล็อกอินด้วยบัญชีแอดมินที่สร้างขึ้นใหม่ และ อัปโหลดไฟล์อันตรายเพื่อรันผ่านฟีเจอร์แอนตี้ไวรัสในตัว"

โดยปกติแล้ว ฟีเจอร์แอนตี้ไวรัสใน Triofox อนุญาตให้ผู้ใช้กำหนดพาธสำหรับโปรแกรมสแกนแอนตี้ไวรัสได้เอง ซึ่งไฟล์ที่กำหนดเป็นตำแหน่งสแกนนี้จะได้รับสิทธิ์การทำงานเทียบเท่ากับบัญชี SYSTEM ซึ่งเป็นสิทธิ์สูงสุด

โหลดเครื่องมือควบคุมระยะไกล

Mandiant ระบุว่า ผู้โจมตีรันสคริปต์อันตรายแบบ Batch ชื่อ "centre_report.bat" โดยการกำหนดให้พาธของเอนจิ้นแอนตี้ไวรัสชี้ไปที่สคริปต์นี้โดยตรง

  • สคริปต์ดังกล่าวถูกออกแบบมาเพื่อ ดาวน์โหลดตัวติดตั้งสำหรับ Zoho Unified Endpoint Management System (UEMS)
  • จากนั้นใช้ตัวติดตั้งนี้เพื่อ ติดตั้งโปรแกรมควบคุมระยะไกล (Remote Access Programs) เช่น Zoho Assist และ AnyDesk บนเครื่องเป้าหมาย
  • ผู้โจมตีใช้ Zoho Assist เพื่อ สำรวจเครือข่าย (Reconnaissance) และพยายามเปลี่ยนรหัสผ่านบัญชีที่มีอยู่ รวมทั้งเพิ่มบัญชีเหล่านั้นเข้าในกลุ่ม Local Administrators และกลุ่ม "Domain Admins" เพื่อยกระดับสิทธิ์ (Privilege Escalation)

นอกจากนี้ เพื่อหลีกเลี่ยงการตรวจจับ ผู้โจมตีได้ดาวน์โหลดเครื่องมืออย่าง Plink และ PuTTY เพื่อสร้างอุโมงค์เข้ารหัส (Encrypted Tunnel) ไปยังเซิร์ฟเวอร์ควบคุม (Command-and-Control - C2) ผ่านพอร์ต 433 ด้วย SSH โดยมีเป้าหมายสูงสุดคือการอนุญาตให้ทราฟฟิก RDP ภายนอกสามารถเข้าถึงได้

ข้อแนะนำสำหรับผู้ใช้งาน

แม้ว่าวัตถุประสงค์สูงสุดของการโจมตีนี้ยังไม่เป็นที่ทราบแน่ชัด แต่ผู้ใช้งาน Triofox ควรดำเนินการโดยด่วน:

  1. อัปเดต Triofox เป็นเวอร์ชันล่าสุดทันที
  2. ตรวจสอบบัญชีแอดมิน ทั้งหมด
  3. ยืนยัน ว่าเอนจิ้นแอนตี้ไวรัสของ Triofox ไม่ได้ถูกตั้งค่าให้รันสคริปต์หรือไฟล์ที่ไม่ได้รับอนุญาต

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก

Tags:

คุณอาจจะชอบ

ดูทั้งหมด
ใหม่กว่า เก่ากว่า
แชร์กับแอปอื่นๆ
คัดลอก ลิงค์ไปยังโพสต์