🇯🇵 Bronze Butler의 ‘Lanscope’ 제로데이 작전: 일본을 노린 정밀 침투, 무엇이 달랐나? 🐼💥

“엔드포인트 관리툴 = 조직 전체의 열쇠뭉치”
바로 이 지점을 정확히 찌른 공격이 나왔습니다.
중국 연계 APT로 오랫동안 일본을 집요하게 노려온 Bronze Butler가 2025년 중반,
일본에서 광범위하게 쓰이는 Lanscope(모텍스 Motex 개발) 의 제로데이 취약점(CVE-2025-61932) 을 선제 악용했다는 분석이에요.
더 무서운 건, 이 제품이 상장기업의 4곳 중 1곳, 금융기관의 3곳 중 1곳이 쓸 만큼 보급돼 있다는 점.
즉 “한 번 뚫리면 많은 조직이 동시에 위험해질 수 있는” 소프트웨어라는 겁니다. 😨

Lanscope는 쉽게 말해 일본판 Ivanti EPM 느낌의 UEM/보안 플랫폼이에요.
대규모 조직의 수많은 PC·서버를 중앙에서 통제하고, 에이전트는 높은 권한으로 동작하죠.
이 높은 권한과 넓은 배포범위 — 바로 이게 APT의 최애 타깃 프로필입니다.

---

🧩 CVE-2025-61932: 왜 이렇게 위험했나? (핵심 포인트 3단 요약)

이번 취약점은 흔히 말하는 ‘레이어 케이크’형 결함에 가깝습니다.
각 레이어가 서로의 약점을 보완(?)하며 공격자에게 원격 코드 실행(RCE) + 시스템 권한 상승의 완전체를 만들어 줬어요.

1. 요청 검증 부재
   • 외부에서 들어오는 요청의 출처·정당성 검증이 부실 → 인터넷에서 노출된 서버라면 누구나 문을 두드려볼 수 있는 상태.
2. 코드 실행 차단 장치 누락
   • 들어온 요청이 임의 코드 실행로 이어지는 것을 막을 보호울타리 부족 → 웜처럼 번질 가능성도.
3. 권한 체크 미비(Privilege Check Missing)
   • UEM 특성상 에이전트는 시스템 레벨 권한. 공격자는 특별히 만든 요청으로 최고 권한 실행까지 가져감 → 엔드포인트에서 마음껏 ‘하고 싶은 일’을 할 수 있게 됨.

결론: 원격침투 → 코드실행 → 시스템권한 3콤보가 한 번에 성립.
게다가 UEM 특성상 조직 내 많은 단말과 연결돼 있어, 단일 취약점으로 광범위한 영향을 일으킬 수 있었죠.

📌 좋은 소식도 있어요: Motex가 패치(보안 업데이트) 를 이미 배포했습니다.
또한 클라우드형 Lanscope는 영향 없음으로 공지됐고,
인터넷에 직접 노출된 온프레미스 서버는 대략 50~160대 수준으로 파악됐다고 해요(집계 방식에 따라 차이).
적어도 “전면적 대규모 인터넷 노출”은 아니었던 셈이죠.

---

🐼 누구 짓이냐고요? Bronze Butler가 또… (그리고 과거 전례)

Sophos 분석에 따르면,
Bronze Butler(a.k.a. Tick 등)는 공개 전(제로데이 상태)부터 이 취약점을 만지작거리며 공격에 활용한 정황이 확인됐어요.
이 그룹은 2010년대 초반부터 일본을 꾸준히 노려왔고, 2016년엔 일본의 또 다른 자산관리툴 ‘SKYSEA Client View’ 를
악용한 전력도 있죠.
이번에도 “일본에서 널리 쓰이는 관리툴”을 골랐다는 점이 눈에 띕니다. 🎯

공격 체인에서는 ‘Gokcpdoor’(Go 언어 기반 백도어) 를 심어 정보탈취를 진행했고,
상황에 따라 Havoc(OSS C2 프레임워크) 를 쓰기도 했습니다.
또 OAED 로더로 정상 프로세스에 인젝션해 Gokcpdoor/Havoc를 심는 기술을 병행. 7-Zip/원격데스크톱/file.io 같은
OSS·클라우드 툴로 가로 이동(횡적 이동)과 유출을 깔끔하게 수행했고,
심지어 LimeWire(P2P) 를 쓴 케이스도 관찰됐다고 해요(의외지만, 은밀한 외부 연결 경로로 응용했을 가능성).

🇯🇵 맥락 한 줄: 일본은 정부·방위·제조·R&D 중심의 기술집약 산업 비중이 높고,
중국·북한 연계 APT의 전략적 스파잉 타깃이에요. 서방과 유사한 위협 환경을 가지되,
지역 지정학의 영향이 훨씬 직접적입니다.

---

🛠️ 악용 전개: 공격자가 ‘원하는 건 다 된다’는 뜻

엔드포인트 관리툴은 조직의 모든 단말에 손이 닿습니다.

관리 서버가 뚫리면 공격자는

• 에이전트 배포 기능을 악용해 악성 모듈을 합법처럼 전파
• 스크립트/정책 푸시 기능으로 권한 있는 명령 실행
• 인벤토리·테넌트 맵을 이용해 네트워크 내부 구조 파악
• 크리덴셜/토큰 회수, SSO 세션 하이재킹 시도
• MDM/UEM 정책 변경으로 보안 통제 약화
• EDR 회피 설정 주입 등, 방어선 ‘내부’에서 룰을 바꿔버릴 수 있음

즉, 한 방에 관리자의 손과 발을 빼앗아 공격자 손에 쥐여 준 셈입니다.
그래서 UEM·EPM 취약점은 CVSS 9.x 급이 흔한 거예요. 🔥

---

🧯 지금 당장 할 일: 보안·운영팀 체크리스트 (현실적으로 바로 적용) ✅

1) 패치 & 노출 축소

• Lanscope 온프레미스 즉시 패치(버전·릴리즈 노트 확인 필수)
• 인터넷 직노출 차단: 외부 접근은 VPN·IP 허용목록으로 제한
• 경계 앞 WAF/리버스프록시 배치 시, 비정상 메서드/경로 필터 적용

2) 자격정보 & 접근제어

• 관리자 계정·API 키 전면 교체/로테이션
• 관리 콘솔 MFA 의무화, 관리자 로그온 소스 IP 제한
• RBAC 재점검: 과도한 글로벌 권한의 역할 축소

3) 엔드포인트·네트워크 탐지 강화

• EDR: 인젝션/Reflective Load/메모리 상 실행 탐지 룰 상향
• Lanscope 에이전트 비정상 배포/스크립트 푸시 이벤트 경보화
• 출구(egress) 통제: file.io, 임의 P2P(LimeWire 등)·익명 스토리지 차단/모니터링
• SSL 가시성: 관리 서버 ↔ 에이전트 구간 비정상 페이로드 패턴 탐지

4) 로그 & 포렌식

• 관리 서버 액세스 로그: 생소한 IP·국가, 이상 User-Agent, 비정상 시간대 확인
• 에이전트 명령 이력: 갑작스런 대량 커맨드/스크립트 실행 여부
• 백도어 흔적 IOC 스윕: Gokcpdoor/Havoc 로더 흔적, OAED 인젝션 의심 타임라인

5) 네트워크 세분화 & 백업

• 관리 서버 네트워크 분리(Jump/관리망), 에이전트 통신 포트 허용 리스트만 개방
• 볼트·설정 저장소 백업: 사전 검증된 오프라인 백업 루틴 확인

6) 위기 커뮤니케이션 & 교육

• 현황 브리핑 템플릿: 경영진·현업 대상 간결한 요약본 준비
• 운영자 교육: “관리툴은 조직의 심장부” — 피싱·원격접속 규율, 계정 공유 금지 재강조

---

🔎 헌팅 힌트(일반 원칙 수준)

구체적 취약점 악용 코드나 세부 실행 절차는 제공하지 않습니다.
아래는 행위 기반 관찰 포인트예요.

• 관리 서버
  • 예기치 않은 외부 IP의 반복된 API 호출, 특이한 HTTP 메서드/경로
  • 단기간 다수의 정책/스크립트/에이전트 배포 이벤트 스파이크
  • 신규 관리자 사용자·API 토큰 발급 흔적
• 엔드포인트(클라이언트)
  • 정상 프로세스에 스레드 인젝션/모듈 맵 변화
  • 7-Zip 비정상 배치 사용, 원격데스크톱 세션 급증
  • 알 수 없는 업로더(file.io 등)로 트래픽 발생
  • P2P 클라이언트(비업무) 프로세스 생성 및 외부 연결
• 출구 트래픽
  • 짧은 주기의 소량 암호화 POST, 비정상 SNI/호스트 조합
  • 알려진 OSS C2 패턴(Havoc 등)과 유사한 핸드셰이크/URI 구조

---

🧭 타임라인 & 주의할 점

• 10/20: Motex, CVE-2025-61932 공개(긴급 패치). 클라우드판 미영향 공지.
• 노출 현황: 온프렘 인터넷 노출 인스턴스 약 50~160대 수준 파악.
• CISA KEV 등재/국내 경보: 사용자 제공 텍스트엔 “10/22/2022 KEV 등재”로 기재되어 있으나,
  문맥상 연도 표기 혼동이 있을 수 있습니다(실제 확인은 공식 공지 참고).
• JPCERT/CC: 2025년 4월경부터 피해가 있었을 가능성 시사.
• Sophos: 공개 전 제로데이 단계에서 악용 정황 및 Bronze Butler 관여 분석, Gokcpdoor/Havoc/OAED 사용 보고.

📝 용어 정리: 텍스트에 Lanscope/Lanscape 표기가 섞여 있으나, 제품명은 Lanscope가 정확합니다.

---

🧠 한 줄 핵심 정리

• 왜 위험한가? UEM/EPM는 높은 권한 + 광범위 배포 → 한 번 뚫리면 조직 전체가 위험.
• 무엇을 했나? Bronze Butler가 제로데이로 Lanscope를 악용, Gokcpdoor/Havoc 등으로 침투·유출.
• 어떻게 막나? 즉시 패치 + 인터넷 노출 차단 + EDR 메모리 가시성 + 출구 통제 + 관리계정 전면 재점검.
• 왜 지금이냐? 일본은 중·북 APT의 전략적 스파잉 타깃. 관리툴 제로데이는 낮은 비용·높은 수익의 ‘완벽한 표적’.