Главная страница » Индикаторы компрометации
0
2 месяца
Индикаторы компрометации

Китайская APT-группа BRONZE BUTLER атакует японские компании через уязвимость в системе управления активами

APT

Специалисты по кибербезопасности из Sophos Counter Threat Unit (CTU) зафиксировали целенаправленную кампанию китайской группировки BRONZE BUTLER, использующую ранее неизвестную уязвимость в программном обеспечении для управления активами Motex LANSCOPE Endpoint Manager. Группа, также известная под названием Tick, с середины 2025 года активно эксплуатирует уязвимость CVE-2025-61932 для хищения конфиденциальной информации японских организаций.

Описание

BRONZE BUTLER - китайская APT-группа (Advanced Persistent Threat, рус. - продвинутая постоянная угроза), поддерживаемая государством и действующая с 2010 года. Инцидент 2025 года не является первым случаем, когда группировка нацеливается на японское программное обеспечение для управления ИТ-активами: в 2016 году она уже использовала уязвимость нулевого дня в продукте SKYSEA Client View. Это указывает на устойчивый интерес злоумышленников к инструментам, широко используемым в корпоративной среде Японии.

Уязвимость CVE-2025-61932, обнаруженная в продукте LANSCOPE, позволяет удаленным злоумышленникам выполнять произвольные команды с привилегиями уровня SYSTEM. Это предоставляет максимальные права доступа к операционной системе, что крайне опасно. Аналитики Sophos отмечают, что количество уязвимых систем, напрямую доступных из интернета, невелико. Однако в уже скомпрометированных сетях атакующие могут использовать эту уязвимость для эскалации привилегий и горизонтального перемещения между узлами сети.

22 октября 2025 года японский центр реагирования на киберинциденты JPCERT/CC опубликовал предупреждение о проблеме в LANSCOPE. В тот же день Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило CVE-2025-61932 в свой Каталог известных эксплуатируемых уязвимостей, что подчеркивает серьезность угрозы.

В ходе расследования кампании 2025 года исследователи подтвердили, что злоумышленники использовали вредоносную программу Gokcpdoor для организации каналов управления. Как сообщалось ранее, в 2023 году, Gokcpdoor функционирует как бэкдор, устанавливая прокси-соединение с сервером управления и контроля (C2). Новая версия 2025 года прекратила поддержку протокола KCP и добавила мультиплексирование связи с использованием сторонней библиотеки для взаимодействия с C2-сервером.

Аналитики выявили два различных типа Gokcpdoor, выполняющих разные задачи. Серверный тип ожидает входящих подключений от клиентов, открывая порт, указанный в конфигурации (в исследованных образцах использовались порты 38000 и 38002), и обеспечивает удаленный доступ. Клиентский тип, напротив, сам инициирует соединения с жестко заданными C2-серверами, создавая туннель для скрытного обмена данными.

На некоторых скомпрометированных узлах вместо Gokcpdoor BRONZE BUTLER внедряла фреймворк Havoc C2. Для усложнения анализа как образцы Gokcpdoor, так и Havoc использовали загрузчик OAED Loader, который ранее уже связывался с деятельностью группировки. Этот вредоносный код внедряет полезную нагрузку в легитимный исполняемый файл в соответствии со своей конфигурацией, маскируя тем самым вредоносную активность.

Для перемещения внутри сетей и извлечения данных злоумышленники активно использовали легитимные инструменты. Среди них - goddi (Go dump domain info), открытое программное обеспечение для сбора информации об Active Directory; стандартное приложение удаленного рабочего стола, которое применялось через созданные бэкдорами туннели; и архиватор 7-Zip для сжатия и подготовки данных к вывозу. Кроме того, во время сеансов удаленного рабочего стола BRONZE BUTLER получала доступ через веб-браузер к облачным сервисам хранения данных, таким как io, LimeWire и Piping Server, что, вероятно, было попыткой загрузки похищенной конфиденциальной информации.

Специалисты Sophos CTU рекомендуют организациям, использующим LANSCOPE, в срочном порядке обновить уязвимые серверы до актуальных версий. Также необходимо провести аудит всех систем LANSCOPE, имеющих выход в интернет, на которых установлены клиентская программа (MR) или агент обнаружения (DA), и оценить реальную необходимость их публичного размещения. Своевременное обновление программного обеспечения и минимизация поверхности атаки остаются ключевыми мерами противодействия подобным целенаправленным атакам.

Индикаторы компрометации

IPv4

  • 108.61.161.118
  • 38.54.56.10
  • 38.54.56.57
  • 38.54.88.172
  • 38.60.212.85

MD5

  • 4946b0de3b705878c514e2eead096e1e
  • 932c91020b74aaa7ffc687e21da0119c

SHA1

  • 1406b4e905c65ba1599eb9c619c196fa5e1c3bf7
  • 8124940a41d4b7608eada0d2b546b73c010e30b1
  • be75458b489468e0acdea6ebbb424bc898b3db29

SHA256

  • 3c96c1a9b3751339390be9d7a5c3694df46212fb97ebddc074547c2338a4c7ba
  • 704e697441c0af67423458a99f30318c57f1a81c4146beb4dd1a88a88a8c97c3
  • 9e581d0506d2f6ec39226f052a58bc5a020ebc81ae539fa3a6b7fc0db1b94946
Комментарии: 0
Похожие записи
0
25.11.2025
Индикаторы компрометации

Банковский троянец Astaroth атакует пользователей WhatsApp через многоступенчатую кампанию в Бразилии

Banking Trojan
Эксперты компании Sophos обнаружили сложную многоэтапную кампанию по распространению вредоносного программного обеспечения, нацеленную на пользователей мессенджера WhatsApp в Бразилии.
0
18.12.2025
Индикаторы компрометации

Киберпреступники GOLD SALEM совершенствуют методы атак с помощью инструмента Velociraptor для развертывания Warlock

ransomware
Исследовательская группа Sophos Counter Threat Unit (CTU) опубликовала углубленный анализ тактики, техник и процедур (TTP) киберпреступной группы GOLD SALEM, связанной с распространением программ-вымогателей Warlock.