Újabb kínai hackertámadás: súlyos Lanscope-sebezhetőségre csaptak le

A kínai Bryce Butler (Tick) hackercsoport ismét lecsapott: ezúttal a Motex Lanscope Endpoint Manager súlyos, addig ismeretlen sebezhetőségét (CVE-2025-61932) használták ki, hogy Gokcpdoor nevű kártevőjük legújabb verzióját juttassák célpontjaik gépeire. Az érintett program 9.4.7.2-nél régebbi kiadásai mind veszélyeztetettek. A hiba lehetővé teszi, hogy hitelesítés nélkül, speciális csomagokkal rendszergazdai jogokat szerezzenek, és tetszőleges kódot futtassanak.

Újabb Gokcpdoor-trükkök

A támadók a frissített Gokcpdoor-variánst a CVE-2025-61932 kihasználásával telepítették, amely már lecserélte a KCP-protokollt, és multiplexált C2-kommunikációt használ. Kétféle változat bukkant fel: egy szerver, amely a 38000-es és 38002-es portokat figyeli, és egy kliens, amely előre megadott címre csatlakozik, és hátsóajtóként működik. A végső kártékony kódot minden esetben az OAED Loader tölti be, majd legitim programokba injektálja, hogy biztosítsa a védelem kikerülését.

Professzionális adatlopás

A hackerek gyakran használták a goddi Active Directory dumpert, a Távoli asztalt (Remote Desktop) és a 7-Zipet, hogy az ellopott adatokat csomagolják és továbbítsák. Az ellopott fájlokat felhőalapú tárhelyszolgáltatásokra – így az io-t, a LimeWire-t vagy a Piping Servert használva – juttatták ki az áldozatok rendszeréből.

Megelőzés: frissítés vagy semmi

A Motex már 2025. október 20-án kiadta a hibajavítást, az amerikai hatóságok pedig sürgetik a szervezeteket, hogy november 12-ig mindenképp telepítsék azt. Más védekezési lehetőség jelenleg nincs: egyedül a naprakészítés véd a támadással szemben.

2025, adrienne, www.bleepingcomputer.com alapján