2025’in ortalarında, Secureworks Karşı Tehdit Birimi (CTU) araştırmacıları, BRONZE BUTLER grubundan Çin devlet destekli tehdit aktörlerinin, kurumsal ağlara yetkisiz erişim elde etmek ve hassas verileri çıkarmak için Motex LANSCOPE Endpoint Manager’daki kritik bir sıfır gün güvenlik açığından yararlandığı karmaşık bir siber saldırıyı ortaya çıkardı.
Bu keşif, on yılı aşkın bir süredir siber güvenlik tehdit ortamında önemli bir varlığını sürdüren bu gelişmiş tehdit grubunun uzun süredir devam eden istismar modelinin yeni bir bölümüne işaret ediyor.
Tick olarak da bilinen BRONZE BUTLER, 2010 yılından bu yana faaliyet gösteriyor ve Japon kuruluşlarını ve devlet kuruluşlarını hedef almaya özel olarak odaklanıyor.
Grubun operasyonel geçmişi, yaygın olarak kullanılan Japon güvenlik ve yönetim yazılımındaki güvenlik açıklarını belirleme ve bunlardan yararlanma konusunda tutarlı bir strateji ortaya koyuyor.
Özellikle, 2016 yılında BRONZE BUTLER, başka bir Japon uç nokta yönetimi çözümü olan SKYSEA Client View’a karşı sıfır gün istismarını başarıyla uyguladı ve grubun hedef ortamlara ilişkin derin bilgisini ve Japon altyapısına sürekli odaklandığını gösterdi. LANSCOPE Endpoint Manager’a karşı düzenlenen bu yeni kampanya, bu rahatsız edici eğilimin devamını temsil ediyor.
Japonya Bilgisayar Acil Durum Müdahale Ekibi Koordinasyon Merkezi (JPCERT/CC), LANSCOPE güvenlik açığını 22 Ekim 2025’te resmi olarak açıkladı ve ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu açıktan yararlanmayı aynı gün Bilinen Açıklardan Yararlanan Güvenlik Açıkları Kataloğu’na ekledi.
Uluslararası siber güvenlik yetkililerinden gelen bu hızlı yanıt, tehdidin ciddiyetini ve savunmasız LANSCOPE sistemlerini çalıştıran kuruluşlar için acil riskleri ortaya koyuyor.
LANSCOPE Uç Nokta Yöneticisi Sıfır Gün Güvenlik Açığı
Bu kampanyada yararlanılan ve CVE-2025-61932 olarak adlandırılan güvenlik açığı, uzaktaki saldırganların etkilenen sistemlerde SİSTEM düzeyinde ayrıcalıklarla rastgele komutlar yürütmesine olanak tanıyan kritik bir güvenlik açığını temsil ediyor.
Bu en yüksek düzeyde erişim, tehdit aktörlerine güvenliği ihlal edilmiş ana bilgisayarlar üzerinde tam kontrol sağlayarak, arka kapılar kurmalarına, sistem yapılandırmalarını değiştirmelerine ve kurumsal ağlarda tespit edilmeden yatay olarak hareket etmelerine olanak tanır.
Tehdit aktörleri, tespit ve analizi karmaşık hale getirmek için bu arka kapıların yanı sıra OAED Loader kötü amaçlı yazılımını da konuşlandırdı ve yürütme akışlarını gizlemek için meşru yürütülebilir dosyalara kötü amaçlı yükler enjekte etti.
CTU analizi, bu istismara karşı savunmasız olan internete yönelik LANSCOPE cihazlarının sayısının nispeten sınırlı olmasına rağmen etkinin hala önemli olduğunu ortaya çıkardı.
Halihazırda güvenliği ihlal edilmiş ağlarda bu güvenlik açığından yararlanan saldırganlar, ayrıcalık yükseltme saldırıları ve yatay hareket operasyonları gerçekleştirerek, potansiyel olarak bir kuruluşun tüm altyapısını tehlikeye atabilir.
Tehdit aktörleri, uzak oturumlar sırasında doğrudan web tarayıcıları aracılığıyla erişilen Piping Server ve LimeWire gibi bulut depolama hizmetleri aracılığıyla bilgi sızdırmadan önce çalınan verileri 7-Zip kullanarak sıkıştırdı.
Uzaktan yürütme yetenekleri ile SİSTEM düzeyindeki ayrıcalıkların birleşimi, hedef ağlarda kalıcı erişim sağlamak ve uzun vadeli varlığı sürdürmek isteyen karmaşık tehdit aktörleri için ideal bir senaryo oluşturur.
Gelişmiş Kötü Amaçlı Yazılım Altyapısı
Bu BRONZE BUTLER kampanyasının teknik gelişmişliği, ilk kullanım vektörünün çok ötesine uzanıyor. CTU araştırmacıları, saldırganların daha önce 2023 tehdit istihbarat raporlarında belgelenen özel bir arka kapı olan Gokcpdoor kötü amaçlı yazılımını kullandığını doğruladı.
Gokcpdoor’un 2025 versiyonu, eski KCP protokol desteğini sonlandırarak, komuta ve kontrol trafiği için üçüncü taraf kütüphaneleri kullanarak iletişimleri çoğullama lehine önemli bir evrimi temsil ediyor.
Bu modernizasyon, BRONZE BUTLER’ın kötü amaçlı yazılım cephaneliğini sürekli olarak geliştiren aktif geliştirme ekiplerine sahip olduğunu gösteriyor.
Grup, farklı operasyonel amaçlarla iki farklı Gokcpdoor varyantını devreye aldı. Sunucu çeşidi, uzaktan erişim yetenekleri sağlarken, 38000 ve 38002 dahil olmak üzere belirli bağlantı noktalarında gelen istemci bağlantılarını kabul eden bir dinleme uç noktası olarak işlev görür.
İstemci çeşidi, kalıcı arka kapılar olarak işlev gören iletişim tünelleri kurarak sabit kodlu C2 sunucularına bağlantılar başlatır. BRONZE BUTLER, belirli ağ segmentlerinde Gokcpdoor’u Havoc C2 çerçevesiyle değiştirerek operasyonel esneklik ve birden fazla saldırı aracına erişim sağladı.
BRONZE BUTLER, ilk dayanak noktasını oluşturduktan sonra, yanal hareketi kolaylaştırmak için uzak masaüstü uygulamalarıyla birlikte Active Directory keşif için goddi gibi meşru araçları kullandı.
LANSCOPE Endpoint Manager dağıtımlarını çalıştıran kuruluşlar, savunmasız sistemlere anında yama uygulanmasına öncelik vermeli ve kamuya açık hale getirilecek meşru iş gereksinimlerini belirlemek için internete bakan LANSCOPE sunucuları üzerinde kapsamlı incelemeler yapmalıdır.
Algılamalar ve göstergeler
| Gösterge | Tip | Bağlam |
|---|---|---|
| 932c91020b74aaa7ffc687e21da0119c | MD5 karma | BRONZE BUTLER (oci.dll) tarafından kullanılan Gokcpdoor çeşidi |
| be75458b489468e0acdea6ebbb424bc898b3db29 | SHA1 karması | BRONZE BUTLER (oci.dll) tarafından kullanılan Gokcpdoor çeşidi |
| 3c96c1a9b3751339390be9d7a5c3694df46212fb97ebddc074547c2338a4c7ba | SHA256 karma | BRONZE BUTLER (oci.dll) tarafından kullanılan Gokcpdoor çeşidi |
| 4946b0de3b705878c514e2ead096e1e | MD5 karma | BRONZE BUTLER (MaxxAudioMeters64LOC.dll) tarafından kullanılan Havoc örneği |
| 1406b4e905c65ba1599eb9c619c196fa5e1c3bf7 | SHA1 karması | BRONZE BUTLER (MaxxAudioMeters64LOC.dll) tarafından kullanılan Havoc örneği |
| 9e581d0506d2f6ec39226f052a58bc5a020ebc81ae539fa3a6b7fc0db1b94946 | SHA256 karma | BRONZE BUTLER (MaxxAudioMeters64LOC.dll) tarafından kullanılan Havoc örneği |
| 8124940a41d4b7608eada0d2b546b73c010e30b1 | SHA1 karması | BRONZE BUTLER (winupdate.exe) tarafından kullanılan goddi aracı |
| 704e697441c0af67423458a99f30318c57f1a81c4146beb4dd1a88a88a8c97c3 | SHA256 karma | BRONZE BUTLER (winupdate.exe) tarafından kullanılan goddi aracı |
| 38[.]54[.]56[.]57 | IP adresi | BRONZE BUTLER’ın kullandığı Gokcpdoor C2 sunucusu; TCP bağlantı noktası 443’ü kullanır |
| 38[.]54[.]88[.]172 | IP adresi | BRONZE BUTLER tarafından kullanılan Havoc C2 sunucusu; TCP bağlantı noktası 443’ü kullanır |
| 38[.]54[.]56[.]10 | IP adresi | BRONZE BUTLER’ın kullandığı Gökcpdoor çeşidinin açtığı portlara bağlanır |
| 38[.]60[.]212[.]85 | IP adresi | BRONZE BUTLER’ın kullandığı Gökcpdoor çeşidinin açtığı portlara bağlanır |
| 108[.]61[.]161[.]118 | IP adresi | BRONZE BUTLER’ın kullandığı Gökcpdoor çeşidinin açtığı portlara bağlanır |
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.