Sikkerhedsforskere har afsløret målrettede angreb, hvor en sårbarhed i Lanscope blev udnyttet som en zero-day. Det gav Kina-tilknyttede hackere mulighed for at trænge ind i netværk og installere skræddersyede backdoors. Kampagnen var rettet mod organisationer, der bruger Motex Lanscope Endpoint Manager, og understreger den fortsatte risiko ved uopdateret virksomhedssoftware. Sårbarheden gav administratoradgang uden autentifikation og gjorde det muligt at overtage systemer direkte.
Sårbarhedsoversigt
Sårbarheden påvirker ældre versioner af Lanscope Endpoint Manager. Den muliggør fjernkørsel af kode gennem manipulerede anmodninger, der helt omgår autentifikation. Når fejlen udnyttes, får angriberen fulde SYSTEM-rettigheder. Det giver kontrol over enheden, mulighed for lateral bevægelse og indsigt i interne systemer.
Leverandøren udsendte en patch kort efter, at angrebet blev opdaget. Efterfølgende analyser viste dog, at angrebene begyndte flere dage før sikkerhedsopdateringen blev frigivet. Det viser, hvor hurtigt trusselsaktører reagerer, når de finder kritiske sårbarheder.
Hvem der står bag
Undersøgelser knytter kampagnen til den kinesiske statsstøttede gruppe Tick, også kendt som Bronze Butler. Gruppen har en historik med angreb mod virksomheder i Østasien og globalt, ofte med fokus på efterretningsindsamling, langvarig adgang og stealth-teknikker.
I denne kampagne brugte gruppen Lanscope-fejlen til at installere Gokcpdoor, en specialudviklet backdoor. Den skabte skjulte kommunikationskanaler og muliggjorde fjernstyring. Seneste varianter har forbedret multiplexing og skiftet til nye kommunikationsprotokoller. Angriberne anvendte desuden sideloading sammen med legitime eksekverbare filer for at undgå detektion.
Sådan foregik angrebene
Angrebskæden fulgte et kendt mønster: udnyt sårbarheden, installer en loader, aktiver backdooren og etabler kommand-og-kontrol-forbindelse. Når adgang var opnået, kunne angriberne oprette skjult adgang, overvåge trafik og stjæle følsomme oplysninger.
Fordi backdooren kamufleres som legitime processer, kan den forblive skjult uden specifik trusselsjagt. Analytikere har set skjulte kommandokanaler, forkælede planlagte opgaver og trafik på højrisko-porte.
Anbefalede tiltag
Organisationer, der bruger Lanscope, bør reagere straks. Anbefalede trin:
- Installer den seneste patch med det samme
- Kortlæg alle Lanscope-installationer i miljøet
- Tjek for ukendte planlagte opgaver eller nye admin-konti
- Scan efter mistænkelige binære filer og sideloadede moduler
- Gennemgå logfiler for usædvanlig udgående trafik
- Begræns ekstern adgang til administrationsgrænseflader
- Segmentér enhedsadministration fra offentlige netværk
En genstart efter patching kan fjerne malware, der ligger i hukommelsen, men kun hvis sårbarheden er lukket.
Konklusion
Lanscope-sårbarheden viser, hvor hurtigt avancerede aktører handler, når de finder en værdifuld åbning. Med fuld adgang uden login udgjorde sårbarheden en stor risiko for organisationer med ældre versioner af softwaren. Hurtig patching, loggennemgang og netværkshærdning er afgørende for at forhindre vedvarende kompromittering og skjult adgang i miljøet.
0 svar til “Lanscope-sårbarhed udnyttet som zero-day i målrettede angreb”