2025’in ortalarında araştırmacılar, Çin devleti destekli tehdit grubu BRONZE BUTLER (aynı zamanda Tick olarak da bilinir) tarafından Motex LANSCOPE Endpoint Manager’a güvenen kuruluşları hedef alan karmaşık bir kampanya keşfettiler.
Saldırganlar, CVE-2025-61932 olarak takip edilen, daha önce bilinmeyen bir sıfır gün güvenlik açığından yararlandı. Bu güvenlik açığı, uzak rakiplere SİSTEM ayrıcalıklarıyla rastgele komutlar yürütme olanağı sağlıyor.
Bu, grubun 2016 yılında SKYSEA Client View’u başarıyla kullanmasının ardından Japon varlık yönetimi yazılımını hedeflemeye devam ettiğini gösteriyor.
JPCERT/CC, 22 Ekim 2025’te güvenlik açığını kamuya açıklayarak dünya çapındaki kuruluşların acilen harekete geçmesini sağladı.
Kampanya, kalıcılık oluşturmak ve hassas bilgileri sızdırmak için birden fazla kötü amaçlı yazılım ailesini ve meşru araçları birleştiren, titizlikle düzenlenmiş bir saldırı zincirini ortaya koyuyor.
Sophos araştırmacıları, saldırganların internete yönelik savunmasız LANSCOPE sunucularına ilk erişim sağlamak için sıfır günden yararlandığını, ardından güvenliği ihlal edilmiş ağlar içinde yanal harekete geçtiklerini belirledi.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, CVE-2025-61932’yi Bilinen İstismara Uğrayan Güvenlik Açıkları Kataloğu’na, tavsiye niteliğindeki yayının yayınlandığı gün ekledi ve bu durum, vahşi ortamda aktif istismarı doğruladı.
%20and%202025%20(right)%20Gokcpdoor%20samples%20(Source%20-%20Sophos).webp)
Sophos analistleri, Gokcpdoor kötü amaçlı yazılımının bu operasyon boyunca kullanılan birincil komuta ve kontrol mekanizması olduğunu belirledi.
2025 varyantı, önceki sürümlere göre önemli bir evrimi temsil ediyor; KCP protokolüne yönelik desteği keserken, komut ve kontrol iletişimleri için üçüncü taraf kitaplıkları kullanarak gelişmiş çoğullama iletişim yeteneklerini uyguluyor.
Kötü Amaçlı Yazılım Çoğullaması Yoluyla Gelişmiş Kalıcılık
Sophos araştırmacıları, belirli operasyonel amaçlara yönelik olarak tasarlanmış iki farklı Gokcpdoor çeşidi belirledi.
Sunucu çeşidi, gelen uzaktan erişim kanallarını oluşturmak için genellikle 38000 veya 38002 numaralı bağlantı noktalarını kullanarak yerleşik yapılandırmasında belirtilen açık dinleme bağlantı noktalarını korur.
.webp)
İstemci versiyonu ise tersine, sabit kodlanmış komut ve kontrol sunucularına bağlantılar başlatarak kalıcı arka kapılar olarak işlev gören güvenli iletişim tünelleri oluşturur.
Tehdit aktörleri, adli analizi karmaşıklaştırmak ve tespitten kaçınmak için, yerleşik yapılandırmalara göre meşru yürütülebilir dosyalara veri yükleyen OAED Loader kötü amaçlı yazılımını kullandı.
Saldırganlar, ele geçirilen belirli ana bilgisayarlarda Gokcpdoor’u tamamen Havoc komuta ve kontrol çerçevesiyle değiştirerek operasyonel esneklik gösterdi.
BRONZE BUTLER, veri sızdırma ve yatay hareket amacıyla goddi (Go dump alan bilgisi), uzak masaüstü uygulamaları ve 7-Zip arşivleme yardımcı programı gibi meşru araçları kötüye kullandı.
Saldırganlar, uzak oturumlar sırasında web tarayıcıları aracılığıyla erişilen io ve LimeWire gibi bulut depolama hizmetlerinden daha da yararlanarak gizli kurumsal verileri başarıyla çaldı.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
