出典: The Hacker News – https://thehackernews.com/2025/10/china-linked-tick-group-exploits.html
原題: China-Linked Tick Group Exploits Lanscope Zero-Day to Hijack Corporate Systems
中国系サイバー諜報グループ「Tick」によるLanscopeのゼロデイ脆弱性悪用攻撃
中国系のサイバー諜報グループ「Tick」が、モテックスのIT資産管理ソフト「Lanscope Endpoint Manager」の重大なゼロデイ脆弱性を悪用し、企業システムを乗っ取る攻撃を実行しました。本記事では、この攻撃の詳細と背景、そして企業が取るべき対策について解説します。
主要なポイント
- ゼロデイ脆弱性「CVE-2025-61932」の悪用: Lanscopeのオンプレミス版に存在するリモートコード実行の脆弱性で、攻撃者はSYSTEM権限で任意のコマンドを実行可能。
- 攻撃グループ「Tick」の特徴: 中国系のサイバー諜報組織で、東アジア特に日本を標的にし、2006年から活動。複数の別名を持つ高度な攻撃者。
- バックドア「Gokcpdoor」の展開: 脆弱性を利用してバックドアを設置し、リモートサーバーとの秘匿通信を確立。通信には多重化技術を用いている。
- 複数の攻撃ツールと手法の使用: DLLサイドローディングによるペイロード注入、Active Directory情報収集ツール「goddi」、リモートデスクトップ、圧縮ツール7-Zipなどを活用。
- データ流出のためのクラウドサービス利用: 攻撃者はリモートセッション中にウェブブラウザを通じてクラウドサービスにアクセスし、盗んだデータを外部に送信。
技術的な詳細や背景情報
今回悪用された脆弱性「CVE-2025-61932」は、Lanscope Endpoint Managerのオンプレミス版に存在し、リモートの攻撃者がSYSTEM権限で任意のコマンドを実行できるものです。CVSSスコアは9.3と非常に高く、深刻なリスクを示しています。
攻撃者はこの脆弱性を利用して「Gokcpdoor」と呼ばれるバックドアを設置します。このバックドアは2種類あり、サーバータイプはクライアントからの接続を待ち受け、クライアントタイプはあらかじめ設定されたC2(コマンド&コントロール)サーバーへ接続して秘匿通信チャネルを確立します。これにより、攻撃者は感染したシステムを遠隔操作可能となります。
また、DLLサイドローディングという技術を用いて「OAED Loader」というDLLローダーを起動し、ペイロードを注入することで、検知を回避しながら攻撃を継続します。さらに、Active Directoryの情報を収集するオープンソースツール「goddi」や、リモートデスクトップ、7-Zipなどの正規ツールも悪用されています。
この攻撃は、Tickグループが過去にも日本を標的に類似のゼロデイ脆弱性を悪用していたことから、継続的かつ高度な標的型攻撃の一環と考えられます。
影響や重要性
Tickグループによるこの攻撃は、日本を含む東アジアの企業や組織にとって重大な脅威です。SYSTEM権限での遠隔操作が可能になるため、機密情報の窃取やシステムの完全な制御を奪われるリスクがあります。また、バックドア設置やクラウドサービスを利用したデータ流出により、被害の拡大や検知の困難さが増しています。
さらに、Lanscopeは多くの企業でIT資産管理に利用されているため、脆弱性の放置は組織全体のセキュリティリスクを大幅に高めます。Tickグループのような高度な攻撃者は、こうした脆弱性を狙い、長期的な情報収集や破壊活動を行う可能性があるため、早急な対策が求められます。
まとめ
モテックスのLanscope Endpoint Managerに存在するゼロデイ脆弱性「CVE-2025-61932」を悪用した中国系サイバー諜報グループ「Tick」の攻撃は、企業のIT資産管理環境に深刻なリスクをもたらしています。攻撃者は高度なバックドアや多様なツールを駆使し、システム乗っ取りとデータ流出を狙っています。
組織は、Lanscopeサーバーの速やかなアップグレードや、インターネットに公開されているサーバーの見直しを実施し、被害拡大を防ぐ必要があります。また、攻撃の兆候を検知するためのログ監視やネットワーク監視も強化すべきです。今回の事例は、ゼロデイ脆弱性の早期発見と対策の重要性を改めて示しています。
