BRONZE BUTLER利用日本资产管理软件漏洞

威胁组织针对LANSCOPE零日漏洞（CVE-2025-61932）发起攻击

攻击活动概述

2025年中，反威胁单位（CTU）研究人员观察到一场复杂的BRONZE BUTLER攻击活动，该活动利用Motex LANSCOPE端点管理器中的零日漏洞窃取机密信息。由中国国家支持的BRONZE BUTLER威胁组织（也称为Tick）自2010年以来一直活跃，曾在2016年利用日本资产管理产品SKYSEA Client View的零日漏洞。JPCERT/CC于2025年10月22日发布了关于LANSCOPE问题的通知。

CVE-2025-61932漏洞利用

在2025年的攻击活动中，CTU研究人员确认威胁行为者通过利用CVE-2025-61932获得初始访问权限。该漏洞允许远程攻击者以SYSTEM权限执行任意命令。CTU分析表明，面向互联网的易受攻击设备数量较少。然而，攻击者可以在受感染的网络内利用易受攻击的设备进行权限提升和横向移动。美国网络安全和基础设施安全局（CISA）于10月22日将CVE-2025-61932添加到已知被利用漏洞目录中。

命令与控制

CTU研究人员确认威胁行为者在此次活动中使用了Gokcpdoor恶意软件。正如第三方在2023年报告的那样，Gokcpdoor可以与命令和控制（C2）服务器建立代理连接作为后门。2025年变体停止了对KCP协议的支持，并为其C2通信添加了使用第三方库的多路复用通信（见图1）。

图1：2023年（左）和2025年（右）Gokcpdoor样本内部函数名称比较

此外，CTU研究人员确定了两种具有不同用途的Gokcpdoor类型：

• 服务器类型：监听传入的客户端连接，打开其配置中指定的端口。部分分析样本使用38000端口，其他使用38002端口。C2功能实现了远程访问。
• 客户端类型：连接到硬编码的C2服务器，建立通信隧道作为后门。

在一些受感染的主机上，BRONZE BUTLER实施了Havoc C2框架而不是Gokcpdoor。部分Gokcpdoor和Havoc样本使用了OAED Loader恶意软件，该恶意软件在2023年的报告中也与BRONZE BUTLER相关联，用于复杂化执行流程。该恶意软件根据其嵌入配置将有效负载注入合法可执行文件中（见图2）。

图2：使用OAED Loader的执行流程

滥用合法工具和服务

CTU研究人员还确认以下工具被用于横向移动和数据外泄：

• goddi（Go dump domain info） - 用于转储Active Directory信息的开源工具
• 远程桌面 - 通过后门隧道使用的合法远程桌面应用程序
• 7-Zip - 用于数据外泄的开源文件归档器

BRONZE BUTLER还在远程桌面会话期间通过Web浏览器访问了以下云存储服务，可能试图外泄受害者的机密信息：

• file.io
• LimeWire
• Piping Server

防护建议

CTU研究人员建议组织在环境中适当升级易受攻击的LANSCOPE服务器。组织还应审查面向互联网的LANSCOPE服务器，这些服务器安装了LANSCOPE客户端程序（MR）或检测代理（DA），以确定是否存在将其公开暴露的业务需求。

检测与指标

以下Sophos防护措施可检测与此威胁相关的活动：

• Torj/BckDr-SBL
• Mal/Generic-S

表1中的威胁指标可用于检测与此威胁相关的活动。请注意IP地址可能被重新分配。这些IP地址可能包含恶意内容，在浏览器中打开前请考虑风险。

表1：此威胁的检测指标