Mercado Digital

Grupo Tick explora falha crítica em Lanscope para invadir redes corporativas

vendasmulti351@gmail.com
vendasmulti351@gmail.com
3 Leitura mínima

O grupo de ciberespionagem Tick, suspeito de atuar a partir da China desde 2006, está explorando uma vulnerabilidade crítica no Motex Lanscope Endpoint Manager para assumir o controle de sistemas corporativos. A brecha, catalogada como CVE-2025-61932 e avaliada em 9,3 no CVSS, permite a execução remota de comandos com privilégios de SYSTEM em instalações on-premise do software.

Índice de Conteúdo

O alerta sobre a falha foi emitido neste mês pelo JPCERT/CC, que confirmou casos de uso ativo da vulnerabilidade para instalação de um backdoor. Segundo a empresa de segurança Sophos, a campanha utiliza a falha para implantar o Gokcpdoor, programa malicioso capaz de criar um canal de comunicação com servidores de comando e controle (C2) e executar instruções na máquina comprometida.

Dois perfis de Gokcpdoor

Análises da Sophos identificaram duas variantes do Gokcpdoor:

  • Servidor: aguarda conexões de clientes para oferecer acesso remoto;
  • Cliente: conecta-se a endereços C2 predefinidos, estabelecendo um túnel discreto.

A versão de 2025 abandonou o protocolo KCP e adotou multiplexação de tráfego por meio da biblioteca smux, ampliando a eficiência da comunicação com os servidores de controle.

Cadeia de ataque e ferramentas usadas

Além do backdoor, os invasores implantam o framework de pós-exploração Havoc e utilizam a técnica de DLL side-loading para acionar um carregador batizado de OAED Loader. O movimento lateral e a exfiltração de dados contam ainda com:

  • goddi, ferramenta de coleta de informações de Active Directory;
  • Remote Desktop, para acesso remoto por meio do túnel criado;
  • 7-Zip, empregado na compactação de arquivos.

Durante sessões de área de trabalho remota, os operadores do Tick também acessam serviços em nuvem como io, LimeWire e Piping Server para retirar informações furtadas.

Grupo Tick explora falha crítica em Lanscope para invadir redes corporativas - Imagem do artigo

Imagem: Internet

Histórico de exploração de zero-days

O Tick tem histórico de uso de falhas não corrigidas. Em 2017, a Secureworks relatou que o grupo explorou a vulnerabilidade CVE-2016-7836, ainda sem correção na época, no software japonês SKYSEA Client View.

Recomendações

A Sophos aconselha a atualização imediata dos servidores Lanscope vulneráveis e a revisão de quaisquer instâncias expostas à internet que utilizem os componentes Lanscope Client Program (MR) ou Detection Agent (DA).

Com informações de The Hacker News

Resumo semanal: F5 confirma invasão, surgem novos rootkits Linux e ataque Pixnapping expõe dados em Android
Segurança é condição para que a IA fortaleça a defesa cibernética, aponta especialista
Grupo APT36 lança campanha de phishing contra governo indiano com malware DeskRAT em Go
GitHub detalha estrutura em três camadas para tornar fluxos de IA mais confiáveis
Grupos chineses exploram falha ToolShell no SharePoint mesmo após correção de julho
Compartilhe este artigo
Artigo anterior Novo episódio do The MacRumors Show debate Vision Pro com chip M5
Próximo Artigo Ferramentas online reduzem etapas na edição de PDFs e tornam gestão de documentos mais ágil

Esteja Conectado

HTV9 Dispositivo Multimídia Inteligente

Últimas Notícias

Final de “A Balada de Um Jogador” revela ambiguidade sobre destino de Lorde Doyle
Universo Tech
Bluesky alcança 40 milhões de usuários e começa a testar botão de “dislike”
Universo Tech
Prime Video lança “Tremembé” e expõe bastidores da penitenciária mais famosa do país
Hardware e Periféricos
GitHub anuncia “WAVES” como tema do Game Off 2025
Mercado Digital

You Might also Like