出典: The Hacker News – https://thehackernews.com/2025/10/china-linked-tick-group-exploits.html
原題: China-Linked Tick Group Exploits Lanscope Zero-Day to Hijack Corporate Systems
中国系APTグループ「Tick」がLanscopeのゼロデイ脆弱性を悪用し企業システムを攻撃
中国を拠点とする高度な持続的脅威(APT)グループ「Tick」が、モテックスのIT資産管理ソフトウェア「Lanscope Endpoint Manager」の重大なゼロデイ脆弱性を悪用し、企業システムへの侵入と制御を実行していることが明らかになりました。JPCERT/CCやSophosの調査により、実際にバックドア設置などの攻撃活動が確認されています。
主要なポイント
- 脆弱性の概要:CVE-2025-61932は、Lanscopeのオンプレミス版に存在するリモートコード実行の脆弱性で、攻撃者はSYSTEM権限で任意のコマンドを実行可能。
- 攻撃グループ「Tick」について:中国系のサイバー諜報グループで、2006年から活動。日本を含む東アジアを標的にし、過去にも類似の攻撃を実施。
- 攻撃手法とマルウェア:「Gokcpdoor」と呼ばれるバックドアを配布し、C2サーバーとの秘匿通信を確立。DLLサイドローディングを利用した「OAED Loader」によるペイロード注入も確認。
- 攻撃の横展開とデータ持ち出し:Active Directory情報収集ツール「goddi」やリモートデスクトップ、7-Zipなどを利用し、クラウドサービス経由でデータの持ち出しを試みている。
- 対策の推奨:Lanscopeサーバーの速やかなアップグレードと、インターネット公開の必要性の再検討が求められている。
技術的な詳細や背景情報
今回悪用された脆弱性CVE-2025-61932は、Lanscope Endpoint Managerのオンプレミス版に存在し、攻撃者がリモートからSYSTEM権限で任意のコマンドを実行できるものです。CVSSスコアは9.3と非常に高く、深刻なリスクを示しています。
攻撃に用いられるバックドア「Gokcpdoor」は、2種類のタイプが存在します。1つはリモートアクセスを可能にするサーバータイプで、クライアントからの接続を待ち受けます。もう1つはクライアントタイプで、あらかじめ設定されたC2サーバーへ接続し、秘匿通信チャネルを確立します。これにより攻撃者は侵害したシステムを遠隔操作可能です。
また、攻撃はDLLサイドローディング技術を利用し、「OAED Loader」と呼ばれるDLLローダーを起動して悪意あるペイロードを注入します。DLLサイドローディングとは、正規のDLLファイルを装って悪意あるDLLを読み込ませる攻撃手法で、検知を回避しやすい特徴があります。
さらに、Active Directory情報を収集するオープンソースツール「goddi」や、リモートデスクトップ、圧縮ツールの7-Zipを活用し、攻撃の横展開やデータの持ち出しを効率化しています。攻撃者はリモートデスクトップセッション中にウェブブラウザを使い、io、LimeWire、Piping Serverなどのクラウドサービスを介してデータを外部に送信しようと試みています。
影響や重要性
Tickは日本を含む東アジアを重点的に標的にしており、今回の攻撃は日本の企業や組織にとって重大な脅威です。Lanscopeは多くの企業でIT資産管理に利用されているため、この脆弱性を悪用されるとシステム全体の制御を奪われ、機密情報の漏洩や業務妨害など深刻な被害が発生する可能性があります。
また、今回の脆弱性は公に開示されたことで、Tick以外の他の脅威アクターも悪用を試みるリスクが高まっています。これにより、攻撃の拡大や新たな亜種のマルウェア出現も懸念されます。
まとめ
中国系APTグループ「Tick」がLanscope Endpoint Managerのゼロデイ脆弱性を悪用し、企業システムを侵害している事例は、サイバーセキュリティの現状を改めて浮き彫りにしました。特に日本の企業は標的にされやすいため、早急な脆弱性対策とネットワークの公開範囲の見直しが不可欠です。
攻撃に用いられる高度なバックドアやポストエクスプロイトツールは検知を困難にするため、多層的な防御策と継続的な監視体制の強化が求められます。組織は最新のセキュリティ情報を常に把握し、適切な対応を講じることが重要です。
