Motex Lanscope Endpoint Manager’da yakın zamanda açıklanan kritik bir güvenlik açığından yararlanılması, Motex Lanscope Endpoint Manager olarak bilinen bir siber casusluk grubuna atfedildi. Kene.
CVE-2025-61932 (CVSS puanı: 9,3) olarak takip edilen güvenlik açığı, uzak saldırganların programın şirket içi sürümlerinde SİSTEM ayrıcalıklarıyla rastgele komutlar yürütmesine olanak tanıyor. JPCERT/CC, bu ay yayınlanan bir uyarıda, güvenliği ihlal edilmiş sistemlere arka kapı açmak amacıyla güvenlik kusurunun aktif olarak kötüye kullanıldığına ilişkin raporları doğruladığını söyledi.
Bronze Butler, Daserf, REDBALDKNIGHT, Stalker Panda, Stalker Taurus ve Swirl Typhoon (eski adıyla Tellurium) olarak da bilinen Tick, Doğu Asya’yı, özellikle Japonya’yı kapsamlı bir şekilde hedeflemesiyle tanınan şüpheli bir Çinli siber casusluk aktörüdür. En az 2006’dan beri aktif olduğu değerlendiriliyor.
Sophos tarafından gözlemlenen karmaşık kampanya, uzak bir sunucuyla proxy bağlantısı kurabilen ve tehlikeye atılan ana bilgisayarda kötü amaçlı komutları yürütmek için bir arka kapı görevi görebilen, Gokcpdoor olarak adlandırılan bilinen bir arka kapı sağlamak için CVE-2025-61932’nin istismar edilmesini içeriyordu.
“2025 modeli, KCP protokolüne yönelik desteği sonlandırdı ve üçüncü taraf bir kitaplık kullanarak çoklamalı iletişim ekledi [smux] C2 için [command-and-control] Sophos Karşı Tehdit Birimi (CTU) Perşembe günü yayınlanan bir raporda şunları söyledi:
Siber güvenlik şirketi, farklı kullanım senaryolarına hizmet eden iki farklı Gokcpdoor türü tespit ettiğini söyledi:
- Uzaktan erişimi etkinleştirmek için gelen istemci bağlantılarını dinleyen bir sunucu türü
- Gizli bir iletişim kanalı kurmak amacıyla sabit kodlu C2 sunucularına bağlantılar başlatan bir istemci türü
Saldırı aynı zamanda Havoc’un istismar sonrası çerçevesinin belirli sistemlere konuşlandırılmasıyla da karakterize ediliyor; enfeksiyon zincirleri, yükleri enjekte etmek için OAED Loader adlı bir DLL yükleyiciyi başlatmak için DLL yan yüklemesine dayanıyor.
Saldırıda yanal hareketi ve veri sızmasını kolaylaştırmak için kullanılan diğer araçlardan bazıları arasında açık kaynaklı bir Active Directory bilgi boşaltma aracı olan goddi; Uzak Masaüstü, arka kapı tüneli üzerinden uzaktan erişim için; ve 7-Zip.
Tehdit aktörlerinin, toplanan verileri sızdırmak amacıyla uzak masaüstü oturumları sırasında web tarayıcısı aracılığıyla io, LimeWire ve Piping Server gibi bulut hizmetlerine de eriştikleri tespit edildi.
Bu, Tick’in saldırı kampanyalarında sıfır gün kusurundan yararlandığı ilk gözlemleniş değil. Ekim 2017’de, Sophos’un sahibi olduğu Secureworks, bilgisayar korsanlığı grubunun, Japon BT varlık yönetimi yazılımı olan SKYSEA Client View’daki o zamanlar yama uygulanmamış bir uzaktan kod yürütme güvenlik açığından (CVE-2016-7836) yararlanarak makineleri tehlikeye attığını ve verileri çaldığını ayrıntılarıyla anlattı.
Sophos TRU, “Kuruluşlar, savunmasız LANSCOPE sunucularını ortamlarına uygun şekilde yükseltiyor.” dedi. “Kuruluşlar ayrıca LANSCOPE istemci programı (MR) veya algılama aracısı (DA) yüklü olan internete bakan LANSCOPE sunucularını da incelemeli ve bunların kamuya açıklanması için bir iş ihtiyacı olup olmadığını belirlemelidir.”