Home / サイバー諜報 / 中国系Tickグループ、ランスコープのゼロデイ脆弱性で企業システムを乗っ取る

中国系Tickグループ、ランスコープのゼロデイ脆弱性で企業システムを乗っ取る

2025年11月1日

出典: The Hacker News – https://thehackernews.com/2025/10/china-linked-tick-group-exploits.html

原題: China-Linked Tick Group Exploits Lanscope Zero-Day to Hijack Corporate Systems

中国系サイバー諜報グループ「Tick」がランスコープのゼロデイ脆弱性を悪用し企業システムを乗っ取る

最近、企業向けIT資産管理ソフトウェア「Lanscope Endpoint Manager」の重大なゼロデイ脆弱性が、中国系のサイバー諜報グループ「Tick」によって悪用され、企業システムの乗っ取りが確認されました。本記事では、この攻撃の詳細とその影響、対策について解説します。

主要なポイント

  • 脆弱性の概要(CVE-2025-61932)
    ランスコープのオンプレミス版に存在するリモートコード実行のゼロデイ脆弱性で、攻撃者はSYSTEM権限で任意のコマンドを実行可能。
  • 攻撃グループ「Tick」について
    中国系のサイバー諜報グループで、東アジア特に日本を標的に長年活動。複数の別名を持ち、巧妙な攻撃を展開。
  • 悪用されたバックドア「Gokcpdoor」
    Sophosが観測した攻撃では、Gokcpdoorと呼ばれるバックドアを配布し、リモートサーバーとの秘匿通信を確立して悪意あるコマンドを実行。
  • 攻撃手法の高度化
    DLLサイドローディングを利用した「OAED Loader」によるペイロード注入や、Havocポストエクスプロイトフレームワークの展開も確認。
  • データ窃取のための多様なツール使用
    Active Directory情報ダンプツール「goddi」やリモートデスクトップ、クラウドサービスを介したデータ持ち出しも実施。

技術的な詳細や背景情報

今回悪用された脆弱性(CVE-2025-61932)は、Lanscope Endpoint Managerのオンプレミス版に存在し、リモートの攻撃者がSYSTEM権限で任意のコマンドを実行できるものです。CVSSスコアは9.3と非常に高く、深刻なリスクを示しています。

攻撃に用いられたバックドア「Gokcpdoor」は2種類のタイプが存在し、サーバータイプはクライアントからの接続を待ち受け、クライアントタイプはハードコードされたC2(コマンド&コントロール)サーバーに接続して秘匿通信を行います。SophosのCTUによると、2025年版ではKCPプロトコルのサポートを廃止し、smuxという第三者ライブラリを用いた多重化通信を導入しています。

また、攻撃チェーンではDLLサイドローディング技術を利用し、「OAED Loader」と呼ばれるDLLローダーを起動してペイロードを注入。これにより、正規のプロセスを装いながら悪意あるコードを実行します。さらに、Havocというポストエクスプロイトフレームワークを展開し、横展開やデータ流出を促進しています。

攻撃者はActive Directory情報を収集するために「goddi」というオープンソースツールを使用し、リモートデスクトップや7-Zipなどの正規ツールを悪用して侵害環境の操作やデータ圧縮・持ち出しを行っています。リモートデスクトップセッション中にはウェブブラウザを通じてクラウドサービス(io、LimeWire、Piping Server)にアクセスし、収集データの外部送信を試みていることも確認されています。

影響や重要性

この攻撃は、企業の重要なIT資産管理システムを標的とし、システムの完全な乗っ取りや情報漏洩を引き起こす可能性があります。Tickグループは長年にわたり日本を含む東アジアの政府機関や企業を狙っており、今回のようなゼロデイ脆弱性の悪用は防御側にとって大きな脅威です。

特に、Lanscope Endpoint Managerは多くの企業で利用されているため、脆弱性を放置すると広範囲な被害が発生する恐れがあります。また、攻撃者が正規ツールやクラウドサービスを悪用しているため、検知や追跡が難しく、被害の拡大を招きやすい点も問題です。

まとめ

中国系サイバー諜報グループ「Tick」によるLanscope Endpoint Managerのゼロデイ脆弱性(CVE-2025-61932)悪用は、企業のシステム乗っ取りと情報漏洩の深刻なリスクを示しています。SophosやJPCERT/CCの報告を踏まえ、組織は速やかにLanscopeサーバーのアップデートを実施し、インターネットに面したサーバーの公開設定を見直すことが重要です。

また、攻撃者が多様なツールや技術を駆使しているため、エンドポイントの監視強化や不審な通信の検知、アクセス制御の徹底も求められます。最新の脅威情報を常に把握し、適切な対策を講じることがサイバー攻撃からの防御に不可欠です。

タグ付け処理あり:
security-user

Related Posts

スミソニアン博物館の巨大イカ展示と最新セキュリティ動向
2025年11月3日
米司法省、ジャバーゼウス開発者「MrICQ」ことウクライナ人を米国で拘束
2025年11月3日
ウクライナ人ハッカー「ミスターICQ」米国で逮捕、ジャバージーザス開発者として起訴
2025年11月3日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です