Motex Lanscope Endpoint Manager kritikus sebezhetőségét (CVE-2025-61932) kihasználva egy Kína-kapcsolatú kiberspionázs csoport, az úgynevezett Bronze Butler (más néven Tick) egy frissített verziójú Gokcpdoor kártevőt telepített célpontjaira. A támadássorozatot a Sophos kutatói fedezték fel, akik 2025 közepén figyelték meg a sebezhetőség aktív kihasználását még a javítás megjelenése előtt.
A sebezhetőség részletei: CVE-2025-61932
A CVE-2025-61932 egy kritikus fontosságú hiba, amely a Motex Lanscope Endpoint Manager 9.4.7.2-es és korábbi verzióit érinti. A probléma lényege egy kérés eredetellenőrzési hiányosság, amely lehetővé teszi, hogy hitelesítés nélkül támadók speciálisan kialakított csomagok segítségével tetszőleges kódot futtassanak rendszerszintű (SYSTEM) jogosultságokkal.
Ez a hiba súlyos biztonsági kockázatot jelent, mivel az illetéktelen behatolók teljes körű irányítást szerezhetnek az érintett rendszerek felett.
A támadás menete és a Gokcpdoor malware
A Sophos kutatói által feltárt támadások során a Bronze Butler csoport kihasználta ezt a sebezhetőséget, hogy telepítse a Gokcpdoor nevű hátsó ajtó (backdoor) malware-t. Ez a kártevő proxy kapcsolatot létesít az irányító szerverekkel (C2 infrastruktúra), így lehetővé téve az adatok lopását és további parancsok végrehajtását.
Az újabb verzióban a Gokcpdoor elhagyta a korábban használt KCP protokoll támogatását, helyette multiplexált C2 kommunikációt alkalmaz, amely hatékonyabb és nehezebben észlelhető adatforgalmat biztosít.
A Gokcpdoor működése és variánsai
- Szerveroldali komponens: Kliens kapcsolatok fogadására szolgál a 38000-es és 38002-es portokon.
- Kliensoldali komponens: Előre beállított C2 címekhez csatlakozik, és hátsó ajtóként működik.
Egyes esetekben a támadók alternatívaként a Havoc C2 keretrendszert is alkalmazták, azonban minden esetben az OAED Loader töltötte be végül a kártékony kódot, amely DLL sideloading technikával került befecskendezésre legitim futtatható állományokba az elkerülés érdekében.
További eszközök és módszerek a támadók kezében
A Sophos jelentése szerint a Bronze Butler csoport több más eszközt is használt tevékenysége során:
- goddi Active Directory dumper: Az Active Directory adatainak kinyerésére szolgáló eszköz.
- Remote Desktop: Távoli asztali hozzáférés biztosítása célpont rendszerekhez.
- 7-Zip archiver: Az adatok tömörítésére és exfiltrációra való előkészítésére használt program.
A lopott adatokat valószínűleg felhőalapú tárolókba továbbították, például io, LimeWire vagy Piping Server szolgáltatásokra, amelyek hozzáférési nyomai is megjelentek az elemzések során.
A javítási folyamat és ajánlások
A Motex 2025. október 20-án kiadta a javítást a CVE-2025-61932 hibára. Ezt követően az Egyesült Államok Kiberbiztonsági és Infrastruktúra Biztonsági Ügynöksége (CISA) felvette ezt a sebezhetőséget ismert kihasznált hibák (KEV) listájára, és november 12-ig kötelezővé tette az érintett szövetségi szervezetek számára a frissítés telepítését.
Fontos megjegyezni, hogy jelenleg nem áll rendelkezésre semmilyen workaround vagy alternatív védekezési lehetőség; kizárólag a szoftverfrissítés telepítése jelent hatékony védelmet.
Kinek ajánlott azonnal cselekedni?
Minden olyan szervezetnek, amely Lanscope Endpoint Managert használ, erősen ajánlott mielőbb frissíteni az ügyfélalkalmazásokat az érintett verziókról egy biztonságosabb kiadásra. A gyors reagálás elengedhetetlen annak érdekében, hogy megelőzzék az esetleges adatlopásokat vagy további károkat.
Záró gondolatok
A Bronze Butler támadássorozata jól példázza, hogy még napjainkban is milyen veszélyesek lehetnek az ismert vagy ismeretlen sebezhetőségek – különösen ha azok kritikus jogosultságokat biztosítanak egy rendszerben. A folyamatos frissítés és biztonsági tudatosság kulcsfontosságú elemei minden szervezet védelmének.
Ha Ön is szeretné csapata biztonsági folyamatait megerősíteni – legyen szó régi kulcsok tisztításáról vagy AI-alapú kódgenerálás szabályozásáról –, érdemes áttanulmányozni egy átfogó titkosítási menedzsment útmutatót. Töltse le most az ingyenes cheat sheet-et, hogy egyszerűbbé tegye titkosítási folyamatait!