概要
「Bronze Butler」(Tick)として追跡されている中国関連のサイバー諜報グループが、Motex Lanscope Endpoint Managerの脆弱性をゼロデイとして悪用し、更新されたGokcpdoorマルウェアを展開していたことが判明しました。Sophosの研究者によると、この攻撃は2025年半ばに脆弱性がパッチされる前に発生し、機密情報の窃取を目的としていました。
脆弱性の詳細
攻撃に悪用された脆弱性は、CVE-2025-61932で、Motex Lanscope Endpoint Managerのバージョン9.4.7.2以前に影響を与える重大なリクエスト元検証の欠陥です。この脆弱性により、認証されていない攻撃者が特別に細工されたパケットを介して、SYSTEM権限で標的システム上で任意のコードを実行することが可能になります。
Motexは2025年10月20日にCVE-2025-61932の修正パッチをリリースし、CISAは先週、この脆弱性を既知の悪用された脆弱性(KEV)カタログに追加し、連邦機関に対し2025年11月12日までにパッチを適用するよう促しました。Sophosの報告は、この脆弱性が少なくとも数ヶ月間、ハッカーによって悪用されていたことを示しています。
攻撃の手口とマルウェア
Bronze ButlerはCVE-2025-61932を悪用して、標的にGokcpdoorマルウェアを展開しました。このマルウェアは、攻撃者のコマンド&コントロール(C2)インフラストラクチャとのプロキシ接続を確立します。今回の攻撃で確認された最新バージョンのGokcpdoorは、KCPプロトコルのサポートを廃止し、多重化されたC2通信を追加しています。
Sophosの研究者は、マルウェアの2つのバリアントを分析しました。一つはポート38000と38002でクライアント接続をリッスンするサーバー実装、もう一つはハードコードされたC2アドレスに接続しバックドアとして機能するクライアントです。一部のケースでは、攻撃者は代わりにHavoc C2フレームワークを使用しましたが、いずれの場合も最終的なペイロードはOAED Loaderによってロードされ、回避のためにDLLサイドローディングを使用して正規の実行可能ファイルに注入されていました。
データ窃取と使用ツール
Sophosはまた、Bronze Butlerがgoddi Active Directoryダンパー、リモートデスクトップ、および7-Zipアーカイバツールをデータ流出に使用したと報告しています。ハッカーは、io、LimeWire、Piping Serverなどのクラウドベースのストレージサービスを流出ポイントとして利用した可能性が高いと指摘されています。
推奨される対策
Lanscope Endpoint Managerを使用している組織は、CVE-2025-61932に対処するバージョンへのアップグレードが強く推奨されます。この脆弱性に対する回避策や緩和策は現在存在しないため、パッチの適用が唯一推奨される対策です。