해커들이 안티바이러스 기능을 하이재킹하여 악성 코드를 설치했습니다. 우리가 알고 있는 사실은 다음과 같습니다.
- Triofox의 CVE-2025-12480은 부적절한 액세스 제어를 통해 제로데이 익스플로잇을 허용했습니다.
- UNC6485 공격자는 원격 액세스를 위해 Zoho Assist, AnyDesk 및 SSH 터널을 배포했습니다.
- 7월 26일에 패치가 출시되었습니다. 완화를 위해 10월 14일부터 최신 버전의 Triofox 사용 가능
인기 있는 원격 파일 공유 및 협업 플랫폼인 Triofox는 공격자에게 측면 이동 기능을 제공하는 원격 액세스 도구를 배포하기 위해 제로데이로 악용되는 심각한 취약점을 가지고 있었습니다.
Google Mandiant와 GTIG(Threat Intelligence Group)의 보안 연구원들은 Triofox에 내장된 바이러스 백신 기능이 포함되어 있어 구성이 완료된 후에도 초기 구성 페이지에 액세스할 수 있는 “부적절한 액세스 제어” 결함이 있음을 지적했습니다.
CVE-2025-12480으로 추적되고 심각도 점수는 9.1/10(긴급)인 이 결함은 2025년 4월 초에 도입되어 7월 말에 수정되었습니다. 그러나 공격은 거의 한 달 후에 감지되었으며, 이는 피해자 조직이 제때에 픽스를 적용하지 않았음을 시사합니다.
UNC6485는 누구입니까?
연구원들은 공격자를 과거에 보고되지 않았던 공격 클러스터인 UNC6485로 식별했습니다.
그러나 구글의 위협 인텔리전스 팀은 국가가 후원하는 위협 행위자를 추적하는 것으로 알려져 있기 때문에 이 그룹이 국가와 연관이 있을 수 있으며 캠페인의 목표는 데이터 도용이나 사이버 스파이 활동 및 정보 수집이었다고 추측할 수 있습니다.
익명의 피해자를 대상으로 한 공격에서 위협 행위자는 악성 코드를 사용하여 Zoho UEMS를 배포했으며, 이를 통해 원격 액세스 및 측면 이동 기능을 모두 부여하는 두 가지 합법적인 도구인 Zoho Assist 및 AnyDesk를 설치했습니다.
또한 SSH 터널을 생성하고 원격 트래픽을 전달하기 위해 Plink 및 PUTTY 도구를 배포했습니다.
이 취약점은 Triofox 버전 16.7.10368.56560에서 7월 26일에 수정되었으므로 사용자는 가능한 한 빨리 패치를 적용하는 것이 좋습니다. 또한 Gladinet(Triofox 뒤에 있는 회사)은 최신 버전인 16.10.10408.56683을 10월 14일에 출시했는데, 가능하다면 설치하는 것이 더 좋을 것입니다.
도로 Bleeping컴퓨터
모든 주머니에 맞는 최고의 바이러스 백신
Google 뉴스에서 TechRadar 팔로우 나 우리를 즐겨찾는 소스로 추가하세요 귀하의 피드에서 전문가로부터 뉴스, 리뷰 및 의견을 받으십시오. 팔로우 버튼을 꼭 눌러주세요!
물론 당신도 할 수 있다 TikTok에서 TechRadar 팔로우 뉴스, 리뷰, 비디오 언박싱을 받고 정기적인 업데이트를 받기 위해 왓츠앱 ~도