1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 中国系 ハッカーがMOTEX(エムオーテックス)のLanScopeへゼロデイ サイバー攻撃

中国系 ハッカーがMOTEX(エムオーテックス)のLanScopeへゼロデイ サイバー攻撃

セキュリティニュース

投稿日時: 更新日時:

中国系 ハッカーがMOTEX(エムオーテックス)のLanScopeへゼロデイ サイバー攻撃

ソフォスの研究者は2025年中頃、中国の国家支援系とされる攻撃グループ BRONZE BUTLER(別名:Tick) が、MOTEX(エムオーテックス)の資産・統合管理製品 LANSCOPE Endpoint Manager の未修正脆弱性 CVE-2025-61932 を突き、機密情報の窃取を狙うサイバー攻撃を展開している事を指摘しています。

悪用されている脆弱性

今回悪用が確認された CVE-2025-61932 は、オンプレ版のMOTEX LANSCOPE Endpoint Manager の脆弱性で、攻撃者がリモートから SYSTEM 権限で任意コマンドを実行できる重大な欠陥です。

インターネットに直接公開されたサーバの母数は多くないと見られますが、社内に侵入済みの攻撃者が管理系サーバで権限昇格や横展開に用いる二次的な踏み台としても機能し得る点が本質的な脅威です。

CISAのKEVにも追加されており、具体的な悪用が懸念されていました

なお、クラウド版(LANSCOPE エンドポイントマネージャー クラウド)は本件の影響を受けません。アップデートはクライアント側の対応で完結し、マネージャーのバージョンアップは不要とされています。

概要

2025年中頃、中国の国家支援系ハッカー集団とされる BRONZE BUTLER(Tick) が LANSCOPE のゼロデイを突き、日本企業を標的に機密情報の窃取を狙いました。JPCERT/CCは10月22日に注意喚起、同日CISAも既知悪用カタログに追加しています。今回の欠陥は管理基盤での 特権奪取→横展開 を容易にするため、表面上の露出が少なくとも、環境内で見逃せないリスクを生みます。

侵入から横展開までの手口

攻撃はまず、LANSCOPE Endpoint Manager の CVE-2025-61932 を突いて管理サーバ上で SYSTEM 権限を確保するところから始まります。

特権を得た攻撃者は、その場で持続化のためのバックドア型マルウェア「 Gokcpdoor」 を展開します。2025年版の Gokcpdoor は、従来の KCP を廃止して通信を多重化できる方式へと切り替わっており、環境に応じて「外部のC2へ自律的に発信するクライアント型」と、「内部で待ち受けて踏み台C2として機能するサーバ型」を使い分けます。

設定により 38000/38002/TCP などで待受を開始し、環境外のオペレーターから見れば、感染ホスト同士がトンネルで結ばれた中継拠点として振る舞える状態が作られます。


一部の侵害端末では Havoc C2 が用いられ、さらに OAED Loader によって正規プロセスへペイロードを注入することで、実行経路を複雑化し解析やEDRの検知を掻い潜ります。

権限が行き渡ると、攻撃者は goddi で Active Directory の構造や権限を一気に吸い上げ、取得した情報を手掛かりに管理共有やRDPを介してサーバ群へ次々と踏み込みます。

窃取予定のファイルは 7-Zip で固められ、リモートデスクトップの操作下で file.io / LimeWire / Piping Server などの外部サービスにアクセスし、通信路が遮断されにくいブラウザ経由での持ち出しが試みられます

この一連の流れにより、管理系サーバからの特権奪取、社内横断の可視化、横展開、そして秘匿性の高い持ち出しが、短時間で段階的に達成されます。

既知の検知名・IOC(抜粋)

  • 検知名(Sophos):Torj/BckDr-SBL、Mal/Generic-S

  • ハッシュ例

    • Gokcpdoor(oci.dll)MD5 932c91020b74aaa7ffc687e21da0119c

    • Havoc(MaxxAudioMeters64LOC.dll)MD5 4946b0de3b705878c514e2eead096e1e

    • goddi(winupdate.exe)SHA1 8124940a41d4b7608eada0d2b546b73c010e30b1

  • 通信先例38.54.56.57:443(Gokcpdoor C2)、38.54.88.172:443(Havoc C2)、38.54.56.1038.60.212.85108.61.161.118
    ※IP は再割当ての可能性があるため、脅威インテリジェンスとの突合を前提にブロックと監視を運用してください。

出典

BRONZE BUTLER exploits Japanese asset management software vulnerability

関連記事

MOTEX(エムオーテックス)「LanScope Endpoint Manager」の脆弱性(CVE-2025-61932)、CISAのKEVに追加MOTEX(エムオーテックス)「LanScope Endpoint Manager」の脆弱性(CVE-2025-61932)、CISAのKEVに追加 エムオーテックス「LANSCOPE エンドポイントマネージャー(オンプレミス版)」に深刻なRCE脆弱性(CVE-2025-61932) 全クライアントの至急アップデートを呼びかけエムオーテックス「LANSCOPE エンドポイントマネージャー(オンプレミス版)」に深刻なRCE脆弱性(CVE-2025-61932) 全クライアントの至急アップデートを呼びかけ サイバー攻撃者が偽のDeepSeek ダウンロードサイトを利用しマルウェアを拡散サイバー攻撃者が偽のDeepSeek ダウンロードサイトを利用しマルウェアを拡散 中国のハッカーがFortinetのゼロデイ脆弱性を悪用し、資格情報を盗む中国のハッカーがFortinetのゼロデイ脆弱性を悪用し、資格情報を盗む 中国系 ハッカーがMicrosoft SharePoint の ToolShell の脆弱性を悪用 (CVE-2025-53770)中国系 ハッカーがMicrosoft SharePoint の ToolShell の脆弱性を悪用しサイバー攻撃 (CVE-2025-53770) PHPの脆弱性(CVE-2024-4577)を悪用してハッカーがバックドアを仕掛けるPHPの脆弱性(CVE-2024-4577)を悪用してハッカーがバックドアを仕掛ける 偽のグーグルクロームアップデートでPowerShellを実行させる偽のグーグル クロームのエラーで悪意のあるPowerShellを実行させるよう誘導-ClickFixによるソーシャルエンジニアリング ランサムウェア集団がPuTTYとWinSCPのマルバタイジング攻撃でWindows管理者を標的ランサムウェア グループがPuTTYとWinSCPのマルバタイジング攻撃でWindows管理者を標的にしている Default ThumbnailVeeamのVeeam Backup Enterprise Managerで重大な認証バイパスのバグを警告(CVE-2024-29849)