Home / サイバー諜報 / 中国系Tickグループ、ランスコープのゼロデイ脆弱性で企業システムを乗っ取り

中国系Tickグループ、ランスコープのゼロデイ脆弱性で企業システムを乗っ取り

2025年11月1日

出典: The Hacker News – https://thehackernews.com/2025/10/china-linked-tick-group-exploits.html

原題: China-Linked Tick Group Exploits Lanscope Zero-Day to Hijack Corporate Systems

中国系TickグループがLanscopeのゼロデイ脆弱性を悪用し企業システムを乗っ取る攻撃を実行

中国系のサイバー諜報グループ「Tick」が、モテックスのIT資産管理ソフト「Lanscope Endpoint Manager」に存在するゼロデイ脆弱性を悪用し、企業のシステムを乗っ取る攻撃を行っていることが明らかになりました。本記事では、この攻撃の詳細とその影響について解説します。

主要なポイント

  • ゼロデイ脆弱性の概要(CVE-2025-61932)
    Lanscopeのオンプレミス版に存在する脆弱性で、リモートからSYSTEM権限で任意のコマンドを実行可能。CVSSスコアは9.3と高く、非常に深刻な問題です。
  • Tickグループによる悪用とバックドア設置
    JPCERT/CCの報告によると、この脆弱性は実際にTickグループによって悪用され、侵害したシステムに「Gokcpdoor」と呼ばれるバックドアを設置し、リモート操作を可能にしています。
  • 高度な攻撃手法とツールの利用
    DLLサイドローディングを利用したペイロード注入や、Havocポストエクスプロイトフレームワークの展開、Active Directory情報収集ツール「goddi」など多様なツールを駆使し、横移動やデータ流出を狙っています。
  • Tickグループの背景と標的
    Tickは東アジア、特に日本を重点的に狙う中国系サイバー諜報組織で、2006年から活動。過去にも日本のIT資産管理ソフトの脆弱性を悪用した攻撃実績があります。
  • 防御策と推奨事項
    SophosはLanscopeサーバーの適切なアップグレードと、インターネットに面したLanscopeサーバーの公開可否の再検討を推奨しています。

技術的な詳細や背景情報

今回悪用された脆弱性CVE-2025-61932は、Lanscope Endpoint Managerのオンプレミス版に存在し、リモートからSYSTEM権限で任意のコマンドを実行できるというものです。SYSTEM権限とはWindowsの最上位権限であり、これを奪取されるとシステム全体の制御が可能になります。

Tickグループはこの脆弱性を利用し、「Gokcpdoor」というバックドアを設置。Sophosの調査によると、Gokcpdoorは二種類のタイプが存在し、サーバータイプはリモートからの接続を待ち受け、クライアントタイプはC2(コマンド&コントロール)サーバーへ接続して秘匿通信を確立します。2025年版では通信プロトコルにsmuxという多重化ライブラリを用いており、通信の秘匿性と耐障害性を高めています。

さらに、攻撃はDLLサイドローディングという手法を用いており、これは正規のDLLファイルを悪意あるDLLにすり替えて実行させる技術です。これにより、検知を回避しつつペイロードを注入します。加えて、Havocというポストエクスプロイトフレームワークを展開し、侵害後の操作性を向上させています。

横移動や情報収集には、Active Directoryの情報を抜き取るオープンソースツール「goddi」や、リモートデスクトップ、圧縮ツール7-Zipなどを使用。攻撃者はリモートデスクトップ経由でウェブブラウザを操作し、クラウドサービスを介してデータの流出を試みています。

影響や重要性

この攻撃は企業の重要なIT資産管理システムを標的としており、侵害されるとシステム全体の制御を奪われるだけでなく、機密情報の窃取やさらなる攻撃の踏み台にされるリスクがあります。特に日本の企業や組織が重点的に狙われているため、国内のサイバーセキュリティにとって深刻な脅威です。

Tickグループは長年にわたり高度な手法で標的を狙い続けており、今回のようなゼロデイ脆弱性を迅速に悪用する能力を持っています。これにより、未修正のシステムは非常に危険な状態に置かれています。

まとめ

モテックスのLanscope Endpoint Managerに存在するゼロデイ脆弱性を中国系のTickグループが悪用し、企業システムの乗っ取りや情報流出を狙う攻撃が確認されました。SYSTEM権限の奪取や高度なバックドア設置、DLLサイドローディングなど多彩な攻撃手法が用いられており、被害拡大の恐れがあります。

組織は速やかにLanscopeのアップデートを適用し、インターネットに面したサーバーの公開設定を見直すことが重要です。また、侵害検知やネットワーク監視の強化も併せて実施し、Tickグループのような高度な脅威に備える必要があります。

タグ付け処理あり:
security-user

Related Posts

スミソニアン博物館の巨大イカ展示と最新セキュリティ動向
2025年11月3日
米司法省、ジャバーゼウス開発者「MrICQ」ことウクライナ人を米国で拘束
2025年11月3日
ウクライナ人ハッカー「ミスターICQ」米国で逮捕、ジャバージーザス開発者として起訴
2025年11月3日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です