در اواسط سال ۲۰۲۵، محققان واحد مقابله با تهدیدات مؤسسه Secureworks (CTU) یک کمپین پیشرفته سایبری را کشف کردند که در آن بازیگران تهدید تحت حمایت دولت چین از گروه BRONZE BUTLER از یک آسیبپذیری بحرانی روز صفر در Motex LANSCOPE Endpoint Manager سوءاستفاده کرده و به شبکههای شرکتی دسترسی غیرمجاز یافته و دادههای حساس را استخراج کردهاند.
این کشف فصل دیگری از الگوی طولانیمدت بهرهبرداری این گروه پیشرفته را نشان میدهد؛ گروهی که بیش از یک دهه حضور قابل توجهی در چشمانداز تهدیدات سایبری داشته است.
BRONZE BUTLER، که با نام Tick نیز شناخته میشود، از سال ۲۰۱۰ فعالیت میکند و تمرکز ویژهای بر هدفگیری سازمانها و نهادهای دولتی ژاپن دارد.
تاریخچه عملیاتی این گروه نشاندهنده استراتژی مداوم شناسایی و بهرهبرداری از آسیبپذیریها در نرمافزارهای مدیریت و امنیتی است که در ژاپن به طور گستردهای مستقر شدهاند.
در سال ۲۰۱۶، BRONZE BUTLER از یک اکسپلویت روز صفر علیه راهکار مدیریت نقطهپایان ژاپنی دیگری بهنام SKYSEA Client View با موفقیت استفاده کرد؛ موضوعی که نشاندهنده دانش عمیق گروه نسبت به محیطهای هدف و تمرکز مداوم آنها بر زیرساختهای ژاپن است. این کمپین جدید علیه LANSCOPE Endpoint Manager ادامه این روند نگرانکننده محسوب میشود.
مرکز هماهنگی پاسخ به رخدادهای رایانهای ژاپن (JPCERT/CC) رسماً آسیبپذیری LANSCOPE را در ۲۲ اکتبر ۲۰۲۵ افشا کرد و آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) نیز در همان روز این اکسپلویت را به «فهرست آسیبپذیریهای شناختهشده مورد بهرهبرداری» خود اضافه نمود.
این واکنش سریع از سوی نهادهای بینالمللی امنیت سایبری، شدت تهدید و خطر فوری را برای سازمانهایی که سیستمهای LANSCOPE آسیبپذیر اجرا میکنند، برجسته میسازد.
آسیبپذیری روز صفر LANSCOPE Endpoint Manager
آسیبپذیریی که در این کمپین مورد سوءاستفاده قرار گرفت و با شناسه CVE-2025-61932 اختصاص داده شده، یک نقص امنیتی بحرانی است که به مهاجمان راه دور امکان اجرای دستورات دلخواه با سطح امتیاز SYSTEM را روی سیستمهای آسیبپذیر میدهد.
این بالاترین سطح دسترسی به بازیگران تهدید امکان کنترل کامل میزبانهای آلوده را میدهد و به آنها اجازه میدهد backdoor نصب کنند، پیکربندیهای سیستم را تغییر دهند و بدون شناسایی، در شبکههای سازمانی حرکت جانبی انجام دهند.
برای پیچیدهتر کردن شناسایی و تحلیل، بازیگران تهدید در کنار این backdoorها از بدافزاری بهنام OAED Loader استفاده کردند که payloadهای مخرب را در اجراشدنیهای مشروع تزریق میکند تا جریانهای اجرایی را مبهم سازد.
تحلیل CTU نشان داد که اگرچه تعداد دستگاههای LANSCOPE رو به اینترنت آسیبپذیر نسبتاً محدود است، اما تأثیر آن همچنان قابل توجه است.
مهاجمانی که از این آسیبپذیری در شبکههایی که قبلاً به آنها نفوذ کردهاند استفاده میکنند، میتوانند حملات ارتقای امتیاز و عملیات حرکت جانبی را انجام دهند و بالقوه زیرساخت کامل یک سازمان را به خطر اندازند.
آنها سپس دادههای دزدیده شده را با استفاده از ۷-Zip فشرده کرده و از طریق سرویسهای ذخیرهسازی ابری از جمله Piping Server و LimeWire، که از طریق مرورگرهای وب در جلسات راه دور به آنها دسترسی داشتهاند، استخراج (exfiltrate) کردند.
ترکیب قابلیت اجرای راه دور و امتیازات SYSTEM سناریویی ایدهآل برای بازیگران تهدید حرفهای ایجاد میکند که به دنبال ایجاد دسترسی پایدار و حفظ حضور بلندمدت در شبکههای هدف هستند.
زیرساخت پیشرفته بدافزاری
پیچیدگی فنی کمپین BRONZE BUTLER فراتر از بردار اولیه بهرهبرداری است. محققان CTU تأیید کردند که مهاجمان بدافزار Gokcpdoor را که قبلاً در گزارشهای اطلاعات تهدید سال ۲۰۲۳ مستند شده بود، مستقر کردند.
نمونه ۲۰۲۵ از Gokcpdoor نشاندهنده تکاملی قابلتوجه است؛ این نمونه پشتیبانی از پروتکل قدیمی KCP را کنار گذاشته و به جای آن از multiplexing ارتباطات با استفاده از کتابخانههای ثالث برای ترافیک command-and-control بهره برده است.
این مدرنسازی نشان میدهد که BRONZE BUTLER تیمهای توسعه فعالی دارد که به طور مداوم مجموعه ابزارهای بدافزاری خود را بهبود میدهند.
گروه دو واریانت متمایز از Gokcpdoor را با اهداف عملیاتی مختلف مستقر کرد. واریانت سرور بهعنوان یک endpoint شنونده عمل میکند و اتصالات کلاینت ورودی را روی پورتهای مشخصی از جمله ۳۸۰۰۰ و ۳۸۰۰۲ میپذیرد و قابلیتهای دسترسی از راه دور را فراهم میآورد.
واریانت کلاینت اتصالاتی به سرورهای C2 سختکد (hardcoded) برقرار میکند و تونلهای ارتباطی را ایجاد مینماید که بهعنوان backdoorهای پایدار عمل میکنند. در برخی بخشهای شبکه، BRONZE BUTLER به جای Gokcpdoor از فریمورک C2 دیگری بهنام Havoc استفاده کرده که نشاندهنده انعطافپذیری عملیاتی و دسترسی به چندین ابزار هجومی است.
پس از ایجاد جای پای اولیه، BRONZE BUTLER از ابزارهای مشروعی مانند goddi برای شناسایی Active Directory و همچنین برنامههای remote desktop برای تسهیل حرکت جانبی استفاده نمود.
سازمانهایی که پیادهسازی LANSCOPE Endpoint Manager را انجام دادهاند باید فوراً سیستمهای آسیبپذیر را patch کنند و بررسیهای جامع از سرورهای LANSCOPE رو به اینترنت انجام دهند تا نیازهای تجاری مشروع برای قرار گرفتن در معرض عمومی (public exposure) را تعیین کنند.
تشخیصها و شاخصها (Detections and indicators)
Indicator — Type — Context
932c91020b74aaa7ffc687e21da0119c — MD5 hash — Gokcpdoor variant used by BRONZE BUTLER (oci.dll)
be75458b489468e0acdea6ebbb424bc898b3db29 — SHA1 hash — Gokcpdoor variant used by BRONZE BUTLER (oci.dll)
3c96c1a9b3751339390be9d7a5c3694df46212fb97ebddc074547c2338a4c7ba — SHA256 hash — Gokcpdoor variant used by BRONZE BUTLER (oci.dll)
4946b0de3b705878c514e2eead096e1e — MD5 hash — Havoc sample used by BRONZE BUTLER (MaxxAudioMeters64LOC.dll)
1406b4e905c65ba1599eb9c619c196fa5e1c3bf7 — SHA1 hash — Havoc sample used by BRONZE BUTLER (MaxxAudioMeters64LOC.dll)
9e581d0506d2f6ec39226f052a58bc5a020ebc81ae539fa3a6b7fc0db1b94946 — SHA256 hash — Havoc sample used by BRONZE BUTLER (MaxxAudioMeters64LOC.dll)
8124940a41d4b7608eada0d2b546b73c010e30b1 — SHA1 hash — goddi tool used by BRONZE BUTLER (winupdate.exe)
704e697441c0af67423458a99f30318c57f1a81c4146beb4dd1a88a88a8c97c3 — SHA256 hash — goddi tool used by BRONZE BUTLER (winupdate.exe)
آدرسهای IP مرتبط
۳۸[.]۵۴[.]۵۶[.]۵۷ — IP address — Gokcpdoor C2 server used by BRONZE BUTLER; uses TCP port 443
۳۸[.]۵۴[.]۸۸[.]۱۷۲ — IP address — Havoc C2 server used by BRONZE BUTLER; uses TCP port 443
۳۸[.]۵۴[.]۵۶[.]۱۰ — IP address — Connected to ports opened by Gokcpdoor variant used by BRONZE BUTLER
۳۸[.]۶۰[.]۲۱۲[.]۸۵ — IP address — Connected to ports opened by Gokcpdoor variant used by BRONZE BUTLER
۱۰۸[.]۶۱[.]۱۶۱[.]۱۱۸ — IP address — Connected to ports opened by Gokcpdoor variant used by BRONZE BUTLER
یک نظر