Sikkerhetsforskere har avdekket målrettede angrep som utnyttet en sårbarhet i Lanscope som en zero-day, noe som gjorde det mulig for Kina-tilknyttede hackere å trenge inn i nettverk og installere tilpassede bakdører. Kampanjen rettet seg mot organisasjoner som bruker Motex Lanscope Endpoint Manager og viser den vedvarende risikoen knyttet til utdatert og upatchet bedriftsprogramvare. Sårbarheten ga administrative rettigheter uten autentisering, noe som åpnet for full systemkontroll.
Sårbarhetsoversikt
Svakheten påvirker eldre versjoner av Lanscope Endpoint Manager. Den gir mulighet for fjernkjøring av kode via manipulerte forespørsler som helt omgår autentisering. Når sårbarheten utnyttes, får angriperen SYSTEM-nivå tilgang. Dette åpner for kontroll over enheten, muligheter for lateral bevegelse og innsyn i interne nettverk.
Leverandøren publiserte en sikkerhetsoppdatering kort tid etter at angrepene ble oppdaget. Analyser viser imidlertid at hackerne startet angrepene flere dager før oppdateringen var tilgjengelig. Dette understreker hvor raskt trusselaktører reagerer når de finner en verdifull sårbarhet.
Aktørene bak angrepene
Etterforskningen knytter aktivitetene til den kinesiske statstilknyttede gruppen Tick, også kjent som Bronze Butler. Gruppen er kjent for å angripe virksomheter i Øst-Asia og globalt, med fokus på etterretning, langvarig tilgang og lavt sporingsnivå.
I dette tilfellet brukte gruppen Lanscope-sårbarheten til å distribuere Gokcpdoor, en spesiallaget bakdør. Den etablerer hemmelige kommunikasjonskanaler og muliggjør fjernstyring. Nyere varianter har forbedret multiplex-funksjonalitet og benytter andre kommunikasjonsprotokoller enn tidligere. Angriperne brukte også sideloading sammen med legitime kjørbare filer for å unngå deteksjon.
Angrepsmetode
Angrepskjeden fulgte et kjent mønster: utnytt sårbarheten, slipp en loader, installer bakdøren og start kommando- og kontrollaktivitet. Når angriperen fikk tilgang, kunne de opprette skjulte innganger, overvåke nettverkstrafikk og hente ut sensitiv informasjon.
Fordi bakdøren skjules som legitime prosesser, kan mange miljøer forbli kompromitterte uten målrettet trusseljakt. Analytikere har sett skjulte kommando-kanaler, maskerte planlagte oppgaver og trafikk på høyrisikopporter.
Anbefalte tiltak
Organisasjoner som bruker Lanscope bør reagere umiddelbart. Anbefalte tiltak:
- Installer siste oppdatering med en gang
- Kartlegg alle Lanscope-installasjoner i nettverket
- Sjekk etter ukjente planlagte oppgaver eller nye administratorbrukere
- Skann etter mistenkelige kjørbare filer og sideloadede moduler
- Gå gjennom logger for uvanlige utgående trafikkmønstre
- Begrens ekstern tilgang til administrasjonsgrensesnitt
- Segmenter enhetsadministrasjon fra offentlige nettverk
En omstart etter patching kan fjerne minnebasert skadevare, men fungerer bare dersom angriperen ikke lenger kan utnytte sårbarheten.
Konklusjon
Lanscope-sårbarheten viser hvor raskt avanserte aktører utnytter kritiske sikkerhetshull når de oppdager dem. Med uautorisert tilgang og full kontroll på systemnivå utgjorde svakheten en alvorlig risiko for organisasjoner som brukte eldre versjoner. Rask patching, logganalyse og nettverkssegmentering er avgjørende for å stoppe angrepene og hindre langvarig kompromittering. En proaktiv tilnærming sikrer at angripere ikke kan etablere eller opprettholde skjult tilgang.
0 responses to “Lanscope-sårbarhet utnyttet som zero-day i målrettede angrep”