أعلنت جوجل، ممثلة بفريق Mandiant للدفاع ضد التهديدات، عن اكتشاف استغلال ثغرة أمنية حديثة في منصة مشاركة الملفات والوصول عن بعد Triofox التابعة لشركة Gladinet. تم نشر التصحيحات لهذه المشكلة، لكن جهات تهديد مرتبطة تمكنت من استغلالها.
تُعرف هذه الثغرة الحرجة برقم CVE-2025-12480، وبلغت درجة خطورتها 9.1 على مقياس CVSS. تسمح هذه الثغرة للمهاجم بتجاوز آليات المصادقة والوصول إلى صفحات الإعدادات، مما يمكنه من تحميل وتنفيذ حمولات خبيثة بشكل عشوائي.
استغلال ثغرة Triofox: تفاصيل الهجوم
لاحظت جوجل أن مجموعة تهديدية تُعرف باسم UNC6485 بدأت في استغلال هذه الثغرة منذ 24 أغسطس 2025. يأتي هذا الاستغلال بعد قرابة شهر من إصدار شركة Gladinet للتحديثات الأمنية الخاصة بالثغرة في الإصدار 16.7.10368.56560. وتجدر الإشارة إلى أن CVE-2025-12480 هي الثغرة الثالثة في منصة Triofox التي تتعرض للاستغلال النشط هذا العام، بعد ثغرتي CVE-2025-30406 و CVE-2025-11371.
آلية الاستغلال وخبايا الهجوم
“تمت إضافة حماية إضافية لصفحات الإعدادات الأولية”، وذلك حسبما ورد في ملاحظات الإصدار الخاصة بالبرنامج. “لم تعد هذه الصفحات قابلة للوصول بعد اكتمال إعداد Triofox”.
وأوضحت Mandiant أن الجهة المهاجمة استغلت الثغرة التي تسمح بالوصول غير المصادق عليه للوصول إلى صفحات الإعدادات. بعد ذلك، استخدم المهاجمون هذه الصفحات لإنشاء حساب مسؤول جديد، يسمى “Cluster Admin”، عبر تشغيل عملية الإعداد. وتم استخدام هذا الحساب الجديد لاحقًا لتنفيذ عمليات هجومية أخرى.
تنفيذ الأكواد الخبيثة
لتحقيق تنفيذ الأكواد، قام المهاجم بتسجيل الدخول باستخدام حساب المسؤول الذي تم إنشاؤه حديثًا. ووفقًا لباحثي الأمن، قام المهاجم بتحميل ملفات خبيثة لتنفيذها باستخدام ميزة الفحص الأمني المدمجة.
لإعداد ميزة الفحص الأمني، يُسمح للمستخدم بتحديد مسار عشوائي لمحرك مكافحة الفيروسات. الملف الذي تم تحديده كموقع لمحرك مكافحة الفيروسات يرث صلاحيات حساب عملية Triofox الأب، ويعمل تحت سياق حساب النظام (SYSTEM account).
الهدف النهائي والآثار المترتبة
قام المهاجمون، بحسب تقرير Mandiant، بتشغيل برنامجهم النصي الخبيث (“centre_report.bat”) عن طريق توجيه مسار محرك مكافحة الفيروسات ليشير إلى هذا البرنامج. يهدف هذا البرنامج إلى تنزيل مثبت لنظام Zoho Unified Endpoint Management System (UEMS) من عنوان IP محدد، واستخدامه لنشر برامج الوصول عن بعد مثل Zoho Assist و AnyDesk على الجهاز المستهدف.
تم استخدام الوصول عن بعد الذي يوفره Zoho Assist لإجراء عمليات استكشافية، تلتها محاولات لتغيير كلمات المرور للحسابات الموجودة وإضافتها إلى مجموعات المسؤولين المحليين ومجموعة “Domain Admins” لرفع الصلاحيات.
كوسيلة لتجنب الاكتشاف، قام المهاجمون بتنزيل أدوات مثل Plink و PuTTY لإنشاء نفق مشفر إلى خادم القيادة والتحكم (C2) عبر المنفذ 433 باستخدام بروتوكول SSH، بهدف السماح باتصالات RDP الواردة.
على الرغم من أن الهدف النهائي للحملة لا يزال غير معروف، يُنصح مستخدمو Triofox بتحديث المنصة إلى أحدث إصدار، ومراجعة حسابات المسؤولين، والتأكد من عدم تكوين محرك الفحص الأمني في Triofox لتنفيذ أي نصوص برمجية أو ملفات قابلة للتنفيذ غير مصرح بها. ويُعد تأمين منصات مشاركة الملفات، مثل Triofox، ضروريًا لحماية بيانات المؤسسات من التهديدات السيبرانية المستمرة.