概要:LANSCOPE Endpoint Managerのゼロデイ脆弱性が悪用される
2025年半ば、Secureworks Counter Threat Unit (CTU) の研究者たちは、中国政府の支援を受ける脅威アクターグループBRONZE BUTLER(別名Tick)が、Motex LANSCOPE Endpoint Managerの重大なゼロデイ脆弱性を悪用し、企業ネットワークへの不正アクセスと機密データの窃取を行っていたことを明らかにしました。この発見は、BRONZE BUTLERが10年以上にわたりサイバーセキュリティの脅威ランドスケープで活動し、脆弱性を悪用し続けているパターンを示す新たな事例となります。
BRONZE BUTLERは2010年から活動しており、特に日本の組織や政府機関を標的としています。彼らは、広く普及している日本のセキュリティおよび管理ソフトウェアの脆弱性を特定し、悪用するという一貫した戦略を持っています。2016年には、別の日本のエンドポイント管理ソリューションであるSKYSEA Client Viewに対するゼロデイエクスプロイトを成功させており、今回のLANSCOPE Endpoint Managerに対する攻撃も、この憂慮すべき傾向の継続を示しています。
このLANSCOPEの脆弱性は、日本コンピュータ緊急対応チーム調整センター (JPCERT/CC) によって2025年10月22日に公式に開示され、同日、米国サイバーセキュリティ・インフラセキュリティ庁 (CISA) もこのエクスプロイトを既知の悪用された脆弱性カタログに追加しました。国際的なサイバーセキュリティ当局によるこの迅速な対応は、脅威の深刻さと、脆弱なLANSCOPEシステムを運用する組織に対する差し迫ったリスクを浮き彫りにしています。
LANSCOPE Endpoint Managerゼロデイ脆弱性の詳細
このキャンペーンで悪用された脆弱性は、CVE-2025-61932と指定されており、リモートの攻撃者が影響を受けるシステム上でSYSTEMレベルの権限で任意のコマンドを実行できるという重大なセキュリティ上の欠陥です。この最高レベルのアクセス権により、脅威アクターは侵害されたホストを完全に制御し、バックドアのインストール、システム構成の変更、企業ネットワーク内での横方向の移動を検出されずに実行することが可能になります。
検出と分析を困難にするため、脅威アクターはこれらのバックドアと並行してOAED Loaderマルウェアを展開し、悪意のあるペイロードを正規の実行可能ファイルに注入して実行フローを隠蔽していました。CTUの分析によると、このエクスプロイトに対して脆弱なインターネットに公開されたLANSCOPEデバイスの数は比較的限られているものの、その影響は依然として重大です。攻撃者は、すでに侵害されたネットワーク内でこの脆弱性を悪用することで、権限昇格攻撃や横方向の移動操作を実行し、組織全体のインフラを侵害する可能性がありました。
脅威アクターはその後、窃取したデータを7-Zipで圧縮し、リモートセッション中にWebブラウザを介して直接アクセスしたPiping ServerやLimeWireなどのクラウドストレージサービスを通じて情報を外部に持ち出していました。リモート実行機能とSYSTEMレベルの権限の組み合わせは、高度な脅威アクターが永続的なアクセスを確立し、標的ネットワーク内で長期的な存在を維持しようとする場合に理想的なシナリオを生み出します。
高度なマルウェアインフラストラクチャ
このBRONZE BUTLERキャンペーンの技術的な洗練度は、初期の悪用ベクトルをはるかに超えています。CTUの研究者たちは、攻撃者がGokcpdoorマルウェアを展開していたことを確認しました。これは、2023年の脅威インテリジェンスレポートで以前に文書化されたカスタムバックドアです。
2025年版のGokcpdoorは大幅な進化を遂げており、レガシーなKCPプロトコルサポートを廃止し、コマンド&コントロールトラフィックにサードパーティライブラリを使用した多重通信を採用しています。この近代化は、BRONZE BUTLERがマルウェアの兵器庫を継続的に改善する活発な開発チームを維持していることを示唆しています。
グループは、異なる運用目的を持つ2つの異なるGokcpdoorバリアントを展開しました。サーバーバリアントは、38000および38002を含む指定されたポートで着信クライアント接続を受け入れるリスニングエンドポイントとして機能し、リモートアクセス機能を提供します。クライアントバリアントは、ハードコードされたC2サーバーへの接続を開始し、永続的なバックドアとして機能する通信トンネルを確立します。特定のネットワークセグメントでは、BRONZE BUTLERはGokcpdoorの代わりにHavoc C2フレームワークを使用しており、運用上の柔軟性と複数の攻撃ツールへのアクセスを示しています。
初期の足場を確立した後、BRONZE BUTLERは、Active Directoryの偵察のためにgoddiなどの正規ツールを、横方向の移動を容易にするためにリモートデスクトップアプリケーションを悪用しました。
推奨事項
LANSCOPE Endpoint Managerを展開している組織は、脆弱なシステムの即時パッチ適用を優先し、インターネットに公開されているLANSCOPEサーバーについて、公開の正当なビジネス要件を判断するための包括的なレビューを実施する必要があります。
検出と指標 (Indicators of Compromise)
- MD5ハッシュ:
932c91020b74aaa7ffc687e21da0119c(BRONZE BUTLERが使用するGokcpdoorバリアント oci.dll)4946b0de3b705878c514e2eead096e1e(BRONZE BUTLERが使用するHavocサンプル MaxxAudioMeters64LOC.dll)
- SHA1ハッシュ:
be75458b489468e0acdea6ebbb424bc898b3db29(BRONZE BUTLERが使用するGokcpdoorバリアント oci.dll)1406b4e905c65ba1599eb9c619c196fa5e1c3bf7(BRONZE BUTLERが使用するHavocサンプル MaxxAudioMeters64LOC.dll)8124940a41d4b7608eada0d2b546b73c010e30b1(BRONZE BUTLERが使用するgoddiツール winupdate.exe)
- SHA256ハッシュ:
3c96c1a9b3751339390be9d7a5c3694df46212fb97ebddc074547c2338a4c7ba(BRONZE BUTLERが使用するGokcpdoorバリアント oci.dll)9e581d0506d2f6ec39226f052a58bc5a020ebc81ae539fa3a6b7fc0db1b94946(BRONZE BUTLERが使用するHavocサンプル MaxxAudioMeters64LOC.dll)704e697441c0af67423458a99f30318c57f1a81c4146beb4dd1a88a88a8c97c3(BRONZE BUTLERが使用するgoddiツール winupdate.exe)
- IPアドレス:
38[.]54[.]56[.]57(BRONZE BUTLERが使用するGokcpdoor C2サーバー; TCPポート443を使用)38[.]54[.]88[.]172(BRONZE BUTLERが使用するHavoc C2サーバー; TCPポート443を使用)38[.]54[.]56[.]10(BRONZE BUTLERが使用するGokcpdoorバリアントによって開かれたポートに接続)38[.]60[.]212[.]85(BRONZE BUTLERが使用するGokcpdoorバリアントによって開かれたポートに接続)108[.]61[.]161[.]118(BRONZE BUTLERが使用するGokcpdoorバリアントによって開かれたポートに接続)