10月20日日本電腦緊急應變中心(JPCERT/CC)提出警告,當地軟體業者Motex旗下的裝置管理平臺Lanscope Endpoint Manager存在重大資安漏洞CVE-2025-61932(CVSS風險評為9.8分),該漏洞已被用於攻擊行動,最早可追溯到今年4月,呼籲用戶要儘速套用修補程式,後續美國網路安全暨基礎設施安全局(CISA)將其加入已遭利用的漏洞名冊(KEV),本週有資安業者公布相關攻擊活動的情形。
資安業者Sophos指出,被稱為Bronze Butler、Tick的中國駭客組織,將此漏洞用於實際攻擊,他們在今年中旬看到駭客以此取得初始存取管道,然後在受害組織的網路環境提升權限並橫向移動。過程中,使用名為Gokcpdoor的惡意程式,並透過能公開取得的AD資訊轉存工具goddi、遠端桌面連線,以及壓縮軟體7-Zip,進行橫向移動並將竊得的資料傳送到外部。
惡意程式Gokcpdoor主要的功能是當作後門,可用來與C2伺服器建立代理伺服器連線來接收命令。而在這起活動當中,Bronze Butler運用的Gokcpdoor大致可根據運作模式分成兩種,一種是執行伺服器模式,這種版本的Gokcpdoor會監聽流入的連線流量,部分運用38000埠進行通訊,但也有透過38002埠的情況。
另一種Gokcpdoor是執行用戶端模式,透過寫死的位址與C2伺服器連線,並建立隧道通訊。但除了運用Gokcpdoor,Sophos也看到Bronze Butler在部分受害主機改用C2框架Havoc。這群駭客之所以被Sophos發現,主要是因為攻擊者使用Gokcpdoor或Havoc的過程,同時運用另一款惡意程式Oaed Loader,該組織曾在兩年前的活動運用此惡意程式載入工具。
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
2025-12-04