中国関連ハッカーがLanscopeのゼロデイ脆弱性を悪用
「Bronze Butler」(別名「Tick」)として追跡されている中国関連のサイバー諜報グループが、Motex Lanscope Endpoint Managerの脆弱性(CVE-2025-61932)をゼロデイ攻撃として悪用し、更新されたGokcpdoorマルウェアを展開していたことが判明しました。この活動はSophosの研究者によって発見され、攻撃者らが2025年半ばにこの脆弱性を悪用して機密情報を窃取していたと報告されています。
CVE-2025-61932の詳細と影響
悪用された脆弱性CVE-2025-61932は、Motex Lanscope Endpoint Managerのバージョン9.4.7.2以前に影響を与える深刻なリクエスト元検証の欠陥です。この脆弱性により、認証されていない攻撃者は、特別に細工されたパケットを介して、ターゲット上でSYSTEM権限で任意のコードを実行することが可能になります。
Motexは2025年10月20日にCVE-2025-61932の修正プログラムをリリースし、CISAは先週、この脆弱性を既知の悪用されている脆弱性(KEV)カタログに追加しました。連邦機関に対し、2025年11月12日までにパッチを適用するよう強く求めています。Sophosの最新レポートは、この脆弱性が少なくとも数ヶ月間、ハッカーによって悪用されていたことを示唆しています。
Gokcpdoorマルウェアと攻撃チェーン
Bronze Butlerは、CVE-2025-61932を悪用してGokcpdoorマルウェアをターゲットに展開しました。このマルウェアは、攻撃者のコマンド&コントロール(C2)インフラストラクチャとのプロキシ接続を確立します。今回の攻撃で確認された最新バージョンのGokcpdoorは、KCPプロトコルのサポートを廃止し、多重化されたC2通信を追加しています。
Sophosの研究者は、マルウェアの2つのバリアントを分析しました。1つはポート38000および38002でクライアント接続をリッスンするサーバー実装、もう1つはハードコードされたC2アドレスに接続し、バックドアとして機能するクライアントです。一部のケースでは、攻撃者は代わりにHavoc C2フレームワークを使用しましたが、いずれの場合も、最終的なペイロードはOAED Loaderによってロードされ、DLLサイドローディングを使用して正規の実行可能ファイルに注入され、検出を回避していました。
データ窃取とC2通信
Sophosはまた、Bronze Butlerがデータ窃取のためにgoddi Active Directory dumper、Remote Desktop、および7-Zipアーカイバツールを使用していたと報告しています。ハッカーは、io、LimeWire、Piping Serverなどのクラウドベースのストレージサービスをデータ流出ポイントとして利用していた可能性が高いとSophosは指摘しています。
推奨される対策
Lanscope Endpoint Managerを使用している組織は、CVE-2025-61932に対処するバージョンへのアップグレードが強く推奨されます。この脆弱性に対する回避策や緩和策は現在存在しないため、パッチの適用が唯一推奨される対策です。