** 本記事は、BRONZE BUTLER exploits Japanese asset management software vulnerability の翻訳です。最新の情報は英語記事をご覧ください。**
2025 年半ば、Counter Threat Unit™ (CTU) のリサーチャーは、BRONZE BUTLER (別名:Tick) による高度なサイバー攻撃キャンペーンを観測しました。この攻撃では、Motex 社の LANSCOPE エンドポイントマネージャーに存在するゼロデイ脆弱性を悪用し、機密情報を窃取していました。BRONZE BUTLER は、中国政府の支援を受けているサイバー攻撃グループです。2010 年から活動を続けており、2016 年には日本の資産管理製品である SKYSEA Client View のゼロデイ脆弱性を悪用した事例も確認されています。JPCERT/CC は、2025 年 10 月 22 日に LANSCOPE の問題に関する注意喚起を公開しました。
CVE-2025-61932 の悪用
CTU™ のリサーチャーは、2025 年のキャンペーンで攻撃者が CVE-2025-61932 を悪用して初期アクセスを取得したことを確認しました。この脆弱性を悪用すると、リモートの攻撃者が SYSTEM 権限で任意のコマンドを実行することが可能になります。CTU の分析によると、インターネットに直接接続している脆弱なデバイスの数は少ないことが分かっていますが、攻撃者はすでに侵害したネットワークに存在する脆弱なデバイスを利用し、権限昇格やラテラルムーブメントを行う可能性があります。米国サイバーセキュリティ・社会基盤安全保障庁 (CISA) は、2025 年 10 月 22 日付で実際に悪用が確認された脆弱性のカタログに CVE-2025-61932 を追加しました。
コマンドアンドコントロール
CTU のリサーチャーは、このキャンペーンでサイバー攻撃者が Gokcpdoor マルウェアを使用していたことを確認しました。2023 年にサードパーティによって報告されているように、Gokcpdoor はバックドアとしてコマンドアンドコントロール (C2) サーバーとの間にプロキシ接続を確立できます。2025年に確認された新しい亜種では、KCP プロトコルはサポートされなくなり、C2 との通信にサードパーティライブラリを用いた多重化通信機能が追加されています (図 1 を参照)。
図 1:2023 年 (左) と 2025 年 (右) の Gokcpdoor 検体に関する内部関数名の比較
さらに、CTU のリサーチャーは目的の異なる 2 種類の Gokcpdoor を特定しました。
- サーバータイプの Gokcpdoor は、設定で指定されたポートを開いてクライアントからの接続を待機します。解析した検体では、ポート 38000 を使用するものと、ポート 38002 を使用するものの 2 種類が確認されました。この C2 機能によりリモートアクセスが可能になります。
- クライアントタイプの Gokcpdoor は、ハードコードされた C2 サーバーへ接続を開始し、通信トンネルを確立してバックドアとして機能します。
侵害されたいくつかのホストでは、BRONZE BUTLER は Gokcpdoor の代わりに Havoc C2 フレームワークを展開していました。いくつかの Gokcpdoor および Havoc の検体は、実行フローを複雑化するために 2023 年のレポートでも BRONZE BUTLER との関係が特定されていた OAED Loader マルウェアを使用していました。このマルウェアは埋め込まれた設定に従って、正規の実行ファイルにペイロードを注入します (図 2 を参照)。
図 2:OAED Loader を利用した実行フロー
正規のツールおよびサービスの悪用
CTU のリサーチャーは、ラテラルムーブメントとデータ窃取に、以下のツールが使用されていたことを確認しました。
- goddi (Go 言語で実装されたドメイン情報のダンプツール) – オープンソースの Active Directory 情報ダンピングツール
- リモートデスクトップ – バックドアトンネル経由で使用される正規のリモートデスクトップアプリケーション
- 7-Zip – データ圧縮および外部への送信に利用されたオープンソースのファイルアーカイブツール
また、BRONZE BUTLER はリモートデスクトップセッションで Web ブラウザから以下のクラウドストレージサービスへアクセスしており、被害者の機密情報を外部に流出させようとしていた可能性があります。
- file.io
- LimeWire
- Piping Server
推奨される対策
CTU のリサーチャーは、脆弱な LANSCOPE サーバーを、自社の環境に応じて適切にアップグレードすることを推奨しています。また、インターネットに接続されている LANSCOPE サーバーのうち、LANSCOPE クライアントプログラム (MR) または検知エージェント (DA) がインストールされているサーバーを確認し、インターネットへの接続が業務に必要かどうかを再評価することも推奨しています。
検知および指標
ソフォスの保護機能は、この脅威に関連する以下のアクティビティを検知します。
- Torj/BckDr-SBL
- Mal/Generic-S
表 1 に示す脅威の指標は、この脅威に関連するアクティビティを検知するために使用できます。なお、IP アドレスは再割り当てされる可能性がありますので、注意してください。また、これらの IP アドレスには悪意のあるコンテンツが含まれている可能性があるため、ブラウザで開く際はリスクを十分に考慮してください。
| 指標 | タイプ | コンテキスト |
| 932c91020b74aaa7ffc687e21da0119c | MD5 ハッシュ | BRONZE BUTLER によって使用された Gokcpdoor の亜種 (oci.dll) |
| be75458b489468e0acdea6ebbb424bc898b3db29 | SHA1 ハッシュ | BRONZE BUTLER によって使用された Gokcpdoor の亜種 (oci.dll) |
| 3c96c1a9b3751339390be9d7a5c3694df46212fb97ebddc074547c2338a4c7ba | SHA256 ハッシュ | BRONZE BUTLER によって使用された Gokcpdoor の亜種 (oci.dll) |
| 4946b0de3b705878c514e2eead096e1e | MD5 ハッシュ | BRONZE BUTLER によって使用された Havoc の検体 (MaxxAudioMeters64LOC.dll) |
| 1406b4e905c65ba1599eb9c619c196fa5e1c3bf7 | SHA1 ハッシュ | BRONZE BUTLER によって使用された Havoc の検体 (MaxxAudioMeters64LOC.dll) |
| 9e581d0506d2f6ec39226f052a58bc5a020ebc81ae539fa3a6b7fc0db1b94946 | SHA256 ハッシュ | BRONZE BUTLER によって使用された Havoc の検体 (MaxxAudioMeters64LOC.dll) |
| 8124940a41d4b7608eada0d2b546b73c010e30b1 | SHA1 ハッシュ | BRONZE BUTLER によって使用された goddi ツール (winupdate.exe) |
| 704e697441c0af67423458a99f30318c57f1a81c4146beb4dd1a88a88a8c97c3 | SHA256 ハッシュ | BRONZE BUTLER によって使用された goddi ツール (winupdate.exe) |
| 38[.]54[.]56[.]57 | IP アドレス | BRONZE BUTLER によって使用された Gokcpdoor C2 サーバー TCP ポート 443 を使用 |
| 38[.]54[.]88[.]172 | IP アドレス | BRONZE BUTLER によって使用された Havoc C2 サーバー TCP ポート 443 を使用 |
| 38[.]54[.]56[.]10 | IP アドレス | Gokcpdoor の亜種によって開かれたポートに接続 BRONZE BUTLER が使用 |
| 38[.]60[.]212[.]85 | IP アドレス | Gokcpdoor の亜種によって開かれたポートに接続 BRONZE BUTLER が使用 |
| 108[.]61[.]161[.]118 | IP アドレス | Gokcpdoor の亜種によって開かれたポートに接続 BRONZE BUTLER が使用 |
表 1:この脅威の指標
