Chińska grupa Tick (Bronze Butler) wykorzystywała lukę w Lanscope jako zero-day. Co wiemy i jak się bronić - Security Bez Tabu

Chińska grupa Tick (Bronze Butler) wykorzystywała lukę w Lanscope jako zero-day. Co wiemy i jak się bronić

Wprowadzenie do problemu / definicja luki

Badacze powiązali kampanię cyberszpiegowską chińskiej grupy Tick (Bronze Butler) z aktywnym wykorzystaniem krytycznej podatności CVE-2025-61932 w Motex Lanscope Endpoint Manager (on-premises). Luka polega na niewłaściwej weryfikacji źródła kanału komunikacyjnego i umożliwia zdalne wykonanie kodu bez uwierzytelnienia (RCE) poprzez wysłanie specjalnie przygotowanych pakietów do hostów z komponentami agenta Lanscope. Producent wydał poprawki 20 października 2025 r., a CISA dodała CVE do katalogu KEV, potwierdzając eksploatację „in the wild”.

W skrócie

  • Luka: CVE-2025-61932 (CWE-940), krytyczne RCE bez uwierzytelnienia.
  • Wpływ: zdalne wykonanie kodu z uprawnieniami SYSTEM na hostach z agentem Lanscope (MR/DA).
  • Zasięg: dotyczy instalacji on-prem; wersje z linii 9.4.7.x i starsze (JVN wskazuje ≤9.4.7.1; część publikacji podaje ≤9.4.7.2). Poprawki dostępne, SaaS/Cloud nie jest podatny.
  • Atakujący: Tick/Bronze Butler – kampania cyberszpiegowska, wdrożenie zaktualizowanego backdoora Gokcpdoor.

Kontekst / historia / powiązania

Tick działa co najmniej od 2010 r., celując głównie w organizacje w Japonii i Azji (przemysł, technologie). W połowie 2025 r. grupa wykorzystywała omawianą lukę jako zero-day do uzyskania wejścia, zanim producent załatał błąd, a agencje rządowe potwierdziły aktywną eksploatację.

Analiza techniczna / szczegóły luki

  • Mechanizm: niewłaściwa weryfikacja pochodzenia żądań w kliencie MR i agencie DA dla Lanscope (on-prem). Skutkuje możliwością wysłania pakietów wyzwalających RCE. CVSS v4: 9.3 / v3: 9.8.
  • Zakres komponentów: dotyczy agentów (MR/DA), a nie serwera zarządzającego; wariant chmurowy Lanscope Cloud jest niepodatny.
  • Wersje/łatki: JVN: podatne ≤9.4.7.1; BleepingComputer (na podstawie biuletynów): ≤9.4.7.2. Poprawki udostępniono 20.10.2025 r. (m.in. gałęzie 9.3.x oraz 9.4.x).
  • Łańcuch ataku obserwowany przez badaczy: po RCE wdrażano Gokcpdoor (nowsza wersja z rezygnacją z KCP i multipleksowaną komunikacją C2), czasem wykorzystywano Havoc C2; OAED Loader ładował payload przez DLL sideloading. Próbki serwera nasłuchiwały m.in. na portach 38000/38002.

Praktyczne konsekwencje / ryzyko

  • Zdalne przejęcie hostów z agentami Lanscope z uprawnieniami SYSTEM i możliwość ruchu bocznego w domenie.
  • Eksfiltracja danych z użyciem narzędzi AD dump, zdalnego pulpitu, archiwizacji, a także transferu do usług chmurowych (m.in. Piping Server).
  • Ryzyko sektorowe: wysokie w środowiskach z szeroką ekspozycją agentów na sieci publiczne i z rozproszoną flotą endpointów (typowe w Japonii/Azji – główny rynek Lanscope).

Rekomendacje operacyjne / co zrobić teraz

  1. Inwentaryzacja i zakres: zidentyfikuj wszystkie hosty z MR/DA (on-prem). Odróżnij od Lanscope Cloud (niepodatny).
  2. Patch now! Zastosuj wersje usuwające CVE-2025-61932 (gałęzie naprawcze 9.3.x/9.4.x – zgodnie z tabelą producenta/JVN). W przypadku ograniczeń – izoluj hosty i ogranicz ruch do agentów.
  3. Segmentacja i hardening: ogranicz dostęp do interfejsów agenta (ACL/VLAN/mikrosegmentacja), minimalizuj ekspozycję z Internetu.
  4. Monitoring & detekcja:
    • Wykrywanie prób RCE do agentów; korelacja nietypowych połączeń wychodzących z hostów klienckich.
    • IOCs/TTPs: poszukuj uruchomień OAED Loader, nietypowego DLL sideloading, aktywności Gokcpdoor/Havoc, nasłuchów na 38000/38002, narzędzi typu goddi, nieoczekiwanych archiwów 7-Zip i połączeń do usług chmurowych używanych do eksfiltracji.
  5. Response: w przypadku kompromitacji – izolacja hostów, rotacja poświadczeń (AD), przegląd kontrolerów domeny, triage artefaktów pamięci/dysków i pełna reinstalacja z zaufanych obrazów, jeśli potrzebne. (Wytyczne oparte na praktykach IR i opisanych TTP.)
  6. Zgodność z KEV: jeżeli podlegasz wymogom FCEB/zasadom inspirowanym KEV – uwzględnij termin remediacji po dodaniu do katalogu KEV (październik 2025 r.).

Różnice / porównania z innymi przypadkami

Tick/Bronze Butler wcześniej korzystał z błędów w oprogramowaniu popularnym w Japonii (ukierunkowanie geograficzne i łańcuch dostaw). W porównaniu z „klasycznymi” RMM/EMM-RCE, tutaj wektor znajduje się w agencie endpointowym, co zwiększa powierzchnię ataku – kompromitowany jest host użytkownika, nie wyłącznie serwer zarządzający.

Podsumowanie / kluczowe wnioski

  • CVE-2025-61932 to krytyczne RCE bez uwierzytelnienia w Lanscope (on-prem), wykorzystywane jako zero-day co najmniej od połowy 2025 r. przez Tick/Bronze Butler.
  • Priorytetem jest natychmiastowa aktualizacja agentów (MR/DA) i ograniczenie ich ekspozycji sieciowej.
  • Obserwowane TTPs (OAED Loader, DLL sideloading, Gokcpdoor/Havoc, porty 38000/38002) dają praktyczne wskazówki do detekcji i threat huntingu.

Źródła / bibliografia

  1. BleepingComputer – „China-linked hackers exploited Lanscope flaw as a zero-day in attacks” (01.11.2025). (BleepingComputer)
  2. Sophos – „BRONZE BUTLER exploits Japanese asset management software vulnerability” (30.10.2025). (news.sophos.com)
  3. JVN (JPCERT/CC & IPA) – „JVN#86318557: Lanscope Endpoint Manager (On-Premises) vulnerable to improper verification of source of a communication channel” (20–21.10.2025). (jvn.jp)
  4. NVD (NIST) – „CVE-2025-61932” – opis i metryki CVSS (20.10.2025). (NVD)
  5. Help Net Security – „Lanscope Endpoint Manager vulnerability exploited in zero-day attacks (CVE-2025-61932)” – szczegóły wersji i poprawek (23.10.2025). (Help Net Security)