أُرجِع استغلال ثغرة أمنية حرجة كُشف عنها مؤخرًا في برنامج Motex Lanscope Endpoint Manager إلى مجموعة تجسس سيبراني تُعرف باسم Tick.
تحمل الثغرة الرمز CVE-2025-61932 بدرجة خطورة 9.3 على مقياس CVSS، وتتيح للمهاجمين عن بُعد تنفيذ أوامر عشوائية بامتيازات SYSTEM على الإصدارات المحلية من البرنامج. وأكد مركز تنسيق فرق الاستجابة للحوادث الياباني (JPCERT/CC) في تنبيه صدر هذا الشهر أنه رصد بالفعل حالات استغلال نشط للثغرة بهدف زرع بابٍ خلفي داخل الأنظمة المصابة.
خلفية عن مجموعة Tick
تُعرف مجموعة Tick بأسماء متعددة مثل Bronze Butler وDaserf وREDBALDKNIGHT وStalker Panda وSwirl Typhoon (سابقًا Tellurium)، وتُعد من أبرز جهات التهديد الصينية المتخصصة في التجسس السيبراني ضد دول شرق آسيا، وبالأخص اليابان. وتشير التقديرات إلى أن نشاطها مستمر منذ عام 2006 على الأقل.
تفاصيل الحملة الخبيثة واستغلال الثغرة
كشفت شركة Sophos أن الحملة الأخيرة استغلت الثغرة CVE-2025-61932 لتوزيع بابٍ خلفي معروف باسم Gokcpdoor، قادر على إنشاء اتصال وكيل (Proxy) بخادمٍ بعيد وتنفيذ أوامر ضارة على الجهاز المصاب.
وذكرت وحدة التهديدات في Sophos (CTU) أن إصدار عام 2025 من الباب الخلفي تخلّى عن بروتوكول KCP المستخدم سابقًا، وأضاف بدلاً منه دعمًا لاتصالات متعددة باستخدام مكتبة خارجية تُعرف باسم smux ضمن آلية التحكم والسيطرة (C2).
وحددت الشركة نوعين من برمجية Gokcpdoor بحسب الهدف الوظيفي:
-
النوع الأول (Server Type): يعمل كخادم يستقبل اتصالات من العملاء المهاجمين لتمكين الوصول عن بُعد.
-
النوع الثاني (Client Type): يتصل تلقائيًا بخوادم C2 محددة مسبقًا لتأسيس قناة اتصال خفية.
وتتسم الهجمة أيضًا باستخدام إطار Havoc لما بعد الاختراق على بعض الأنظمة، بالاعتماد على تقنية DLL Side-Loading لتشغيل مُحمِّل DLL يُعرف باسم OAED Loader، يقوم بحقن الحمولة الخبيثة داخل العمليات الشرعية.
أدوات الحركة الجانبية وتسريب البيانات
إلى جانب الباب الخلفي، استخدم المهاجمون مجموعة أدوات إضافية لتوسيع نطاق السيطرة وتسريب المعلومات، من أبرزها:
-
أداة goddi مفتوحة المصدر لتفريغ بيانات Active Directory،
-
خدمة Remote Desktop لإنشاء نفق وصول خلفي،
-
برنامج 7-Zip لضغط الملفات وتجهيزها للنقل.
كما أظهرت التحليلات أن المهاجمين استخدموا متصفحات الويب أثناء الجلسات البعيدة للوصول إلى خدمات سحابية مثل io وLimeWire وPiping Server بهدف تهريب البيانات المسروقة إلى خارج الشبكة.
سجل سابق لاستغلال الثغرات
ليست هذه المرة الأولى التي تُستغل فيها ثغرات يوم الصفر ضمن عمليات مجموعة Tick. ففي أكتوبر 2017، كشفت شركة Secureworks التابعة لـ Sophos عن استغلال المجموعة لثغرة تنفيذ أوامر عن بُعد (CVE-2016-7836) في برنامج إدارة الأصول الياباني SKYSEA Client View، ما أتاح لها اختراق الأجهزة وسرقة بياناتها قبل إصدار التصحيح الأمني.
توصيات أمنية
نصحت Sophos Threat Research Unit (TRU) المؤسسات بضرورة تحديث خوادم Lanscope الضعيفة في بيئاتها التشغيلية، ومراجعة أي خوادم واجهة إنترنت تحتوي على عميل Lanscope (MR) أو وكيل الكشف (DA) لتحديد ما إذا كانت هناك حاجة فعلية إلى جعلها متاحة للعامة.
وحذّرت الشركة من أن الإبقاء على هذه الأنظمة دون تحديث أو حماية مناسبة يفتح الباب أمام استغلالات جديدة قد تؤدي إلى سيطرة كاملة على بيئات العمل المستهدفة.
