브론즈 버틀러, 랜스코프 제로데이 악용해 Gokcpdoor 배포

브론즈 버틀러, 랜스코프 제로데이 악용해 Gokcpdoor 배포

중국 연계 해킹조직으로 알려진 브론즈 버틀러(Bronze Butler, 일명 Tick) 그룹이 일본 모텍스(MOTEX)의 엔드포인트 관리 솔루션 ‘랜스코프 엔드포인트 매니저(Lanscope Endpoint Manager)’의 제로데이 취약점을 악용해 새로운 악성코드 ‘Gokcpdoor’를 유포한 사실이 확인됐다.

이번 공격은 Sophos 보안연구팀이 2025년 중반부터 포착한 것으로, 공격자는 패치 이전 버전을 대상으로 시스템 권한을 탈취하고 내부 기밀 데이터를 외부로 유출한 정황이 포착되었다.

📌 취약점 개요 — CVE-2025-61932

문제가 된 취약점은 공격자가 조작된 패킷을 전송함으로써 인증 절차 없이 시스템 권한으로 임의 코드를 실행할 수 있는 문제다. 영향받는 버전은 클라이언트(MR) 및 탐지 에이전트(DA) 버전 9.4.7.2 이하이며, 서버는 영향을 받지 않는다. 해당 취약점의 CVSS 점수는 9.8 (심각)로 평가되었다.

🧩 취약점 정보
- CVE ID: CVE-2025-61932
- 영향 대상: Lanscope Endpoint Manager (MR/DA ≤ 9.4.7.2)
- 취약점 유형: 인증 우회 / 원격 코드 실행 (RCE)
- 위험도: Critical (CVSS 9.8)
- 해결책: 최신 버전(9.4.7.3 이상)으로 업데이트 필수

🔍 악성코드 Gokcpdoor 분석

Sophos 연구진은 공격자들이 해당 취약점을 이용해 ‘Gokcpdoor’ 악성코드를 배포했다고 밝혔다. 기존 변종과 달리 KCP 통신 프로토콜을 제거하고, 다중화 통신(multiplexed communication) 방식을 도입해 명령제어(C2) 연결 안정성을 높였다.

• 보안 탐지 회피를 위해 정상 실행파일에 DLL 사이드로딩 방식 사용
• 포트 38000 / 38002에서 명령 수신 대기
• 클라우드 기반 저장소(file.io, LimeWire, Piping Server)로 데이터 유출
• 추가 도구: goddi (AD 정보 덤프), RDP, 7-Zip 사용

⚠️ 감염 단계 및 공격 흐름

1. 피싱 이메일로 악성 워드 파일 배포 → 매크로 실행
2. 악성코드 다운로드 및 Lanscope 클라이언트 취약점 악용
3. Gokcpdoor 주입 및 DLL 사이드로딩으로 은폐
4. AD 계정 탈취 → 내부 파일 압축 → 외부 서버 전송

📡 공격 탐지 및 대응 권고

일본 JPCERT/CC는 올해 4월부터 관련 악성 패킷이 관찰되었으며, 브론즈 버틀러가 일본의 정부기관, 방산업체, 통신사를 주요 표적으로 삼은 정황이 포착되었다. 미국 CISA는 해당 취약점을 ‘KEV(알려진 악용 취약점)’ 목록에 추가하고, 연방 기관에 11월 12일까지 패치 완료를 권고했다.

🔒 모텍스(MOTEX) 보안 권고
- 관리 서버는 취약하지 않음
- 클라이언트(MR)·탐지 에이전트(DA)는 반드시 최신 버전(9.4.7.3 이상)으로 업데이트
- 임시 우회책 없음 → 패치가 유일한 해결책

🧠 보안 담당자 권장 조치

• 즉시 최신 패치 적용 및 클라이언트 버전 확인
• 외부 네트워크 노출 차단, 포트 38000·38002 탐지 강화
• 의심 트래픽 로그 집중 모니터링 및 EDR 탐지 정책 업데이트
• 패치가 어려운 환경에서는 해당 노드를 격리 모드로 전환

🏁 결론 — 공급망 보안의 경고

이번 브론즈 버틀러의 공격은 공급망(Supply Chain) 보안의 취약점을 이용한 전형적인 사례다. 엔드포인트 관리 에이전트는 기업 전체 네트워크의 중심에 위치하기 때문에, 단일 취약점이 조직 전체의 보안 리스크로 확산될 수 있다. 지속적인 패치 관리와 위협 인텔리전스 기반의 모니터링 체계 구축이 필요하다.