【安全圈】“幻影核心” 利用 TrueConf 漏洞入侵俄羅斯網絡

關鍵詞

漏洞

自 2025 年 9 月起，一個名為 “幻影核心”（PhantomCore）的親烏克蘭黑客行動主義組織，被指積極攻擊俄羅斯境內運行 TrueConf 視頻會議軟件的服務器。

這一消息源自 Positive Technologies 發布的一份報告，該報告發現，威脅行為者利用由三個漏洞組成的漏洞鏈，在易受攻擊的服務器上遠程執行命令。

研究人員丹尼爾?格里戈里揚（Daniil Grigoryan）和格奧爾基?坎多日科（Georgy Khandozhko）表示：“盡管這條漏洞鏈沒有公開可用的漏洞利用程序，但‘幻影核心’的攻擊者設法展開研究并復現了這些漏洞，這導致俄羅斯眾多組織遭受攻擊。”

“幻影核心” 也被稱為 “仙女騙子”（Fairy Trickster）、“母馬頭領”（Head Mare）、“彩虹鬣狗”（Rainbow Hyena）和 UNG0901，它是一個出于政治和經濟動機的黑客組織，自 2022 年俄烏戰爭爆發后開始活躍。該組織發動的攻擊以竊取敏感數據和破壞目標網絡為特點，在某些情況下，甚至會基于 Babuk 和 LockBit 泄露的源代碼部署勒索軟件。

Positive Technologies 早在 2025 年 9 月就指出：“該組織開展大規模行動的同時，通過不斷更新和改進內部攻擊工具，保持高度隱蔽性，能長時間在受害者網絡中不被察覺?！?/p>

此次攻擊中被利用的 TrueConf 服務器漏洞如下：

• BDU:2025 - 10114（CVSS 評分：7.5）—— 這是一個訪問控制不足漏洞，攻擊者可借此在未經身份驗證的情況下，向某些管理端點（/admin/*）發出請求。

• BDU:2025 - 10115（CVSS 評分：7.5）—— 此漏洞使攻擊者能夠讀取系統上的任意文件。

• BDU - 2025 - 10116（CVSS 評分：9.8）—— 這是一個命令注入漏洞，攻擊者可利用它執行任意操作系統命令。

成功利用這三個漏洞，攻擊者就能繞過身份驗證并訪問組織網絡。據 Positive Technologies 稱，盡管 TrueConf 在 2025 年 8 月 27 日發布了針對這些問題的安全補丁，但針對 TrueConf 服務器的首次攻擊在 2025 年 9 月中旬左右就被檢測到。

在俄羅斯這家安全供應商觀察到的攻擊中，TrueConf 服務器被攻陷后，威脅行為者將其作為跳板，在內部網絡中橫向移動，并投放惡意有效載荷，以進行偵察、躲避防御、獲取憑證，還利用隧道工具建立通信通道。

據說至少有一次成功的入侵導致部署了一個基于 PHP 的 Web shell，它能夠向受感染主機上傳文件并執行遠程命令，同時還有一個 PHP 文件充當代理服務器，將惡意請求偽裝成來自合法服務器。

作為攻擊一部分所投放的其他一些工具如下：

• “幻影 PxPigeon”，這是一個惡意的 TrueConf 視頻會議客戶端，它實現了反向 shell 功能，可連接到遠程服務器并接收后續執行的任務，能夠運行命令、啟動可執行文件，并允許流量通過上述 Web shell 進行代理。

• “幻影 Sscp”（DLL）、“MacTunnelRat”（PowerShell）、“幻影 ProxyLite”（PowerShell），用于通過反向 SSH 隧道在被入侵環境中建立據點。

• “ADRecon”，用于偵察。

• “Veeam - Get - Creds”，這是一個經過修改的 PowerShell 腳本版本，用于恢復與 Veeam 備份與復制軟件相關的密碼。

• “DumpIt” 和 “MemProcFS”，用于獲取憑證。

• Windows 遠程管理（WinRM）和遠程桌面協議（RDP），用于在網絡范圍內橫向移動。

• “Velociraptor”，用于遠程訪問。

• “microsocks”、“rsocx” 和 “tsocks”，用于通過 SOCKS 代理從攻擊者控制的基礎設施控制被攻陷的主機。

部分入侵利用一個 DLL 在被攻陷的視頻會議服務器上創建了一個名為 “TrueConf2” 的具有管理權限的惡意用戶。

直至 2026 年 1 月和 2 月，“幻影核心” 的攻擊鏈還被發現利用網絡釣魚誘餌來初步滲透俄羅斯組織，通過精心制作的 ZIP 或 RAR 壓縮包分發一種后門程序，該后門可在主機上運行遠程命令并提供任意有效載荷。

研究人員總結道：“‘幻影核心’ 是俄羅斯威脅格局中最活躍的組織之一。其武器庫既包括公開可用的工具（如 Velociraptor、Memprocfs、Dokan、DumpIt），也有專有工具（如 MacTunnelRAT、幻影 Sscp、幻影 ProxyLite）。該組織的目標涵蓋政府及眾多行業的私營組織?！糜昂诵摹?積極尋找國產軟件中的漏洞，開發漏洞利用程序，從而具備滲透大量俄羅斯公司的能力。”

近幾個月來，俄羅斯的工業和航空領域成為一個名為 CapFIX 的經濟動機組織策劃的網絡釣魚活動的目標，該組織部署了一種名為 CapDoor 的后門程序，它可以運行從遠程服務器獲取的 PowerShell 命令、DLL 和可執行文件，安裝 MSI 文件，并進行截圖。“CapFIX” 這一名稱源于 CapDoor 在 2025 年首次被發現，當時是通過 “ClickFix” 社會工程策略進行分發。

對該威脅行為者在 2025 年 10 月和 11 月活動的深入分析發現，其利用 ClickFix 部署了如 AsyncRAT 和 SectopRAT 等現成的惡意軟件家族。

Positive Technologies 表示：“雖然該組織此前依賴以金融為主題的網絡釣魚電子郵件（加密貨幣及任何與金錢相關的內容），但他們現在越來越多地將電子郵件偽裝成政府機構的官方通信?！?/p>

“幻影核心” 和 CapFIX 屬于越來越多針對俄羅斯實體發動攻擊的威脅活動集群。其他一些知名組織包括：

• “Geo Likho”，自 2024 年 7 月起主要針對俄羅斯和白俄羅斯的航空和航運部門，通過網絡釣魚攻擊投放信息竊取惡意軟件。在德國、塞爾維亞和香港也檢測到個別感染案例，疑似為意外情況。

• “Mythic Likho”，通過電子郵件中的網絡釣魚誘餌投放 HuLoader、Merlin（一種 Mythic 代理）或 ReflectPulse 等加載程序，這些加載程序旨在解包最終有效載荷 —— 一個名為 Loki 的后門程序，它是與 Havoc 后滲透框架兼容的 Mythic 版本代理。有證據表明，該組織與另一個名為 ExCobalt 的組織有關聯，因為其使用了后者的專有 rootkit “Megatsune”。

• “Paper Werewolf”（又名 GOFFEE），利用一個專門的 Telegram 頻道，以將 Starlink 設備添加到例外列表的工具為幌子，分發一個名為 EchoGather 的木馬程序，此外還分享指向網絡釣魚頁面的鏈接，旨在獲取受害者的 Telegram 賬戶憑證。還觀察到該組織利用一個虛假網站宣傳無人機飛行模擬器來投放 EchoGather。

• “Versatile Werewolf”（又名 HeartlessSoul），利用一個虛假網站（“stardebug [.] app”）分發 Star Debug 的虛假 MSI 安裝程序，Star Debug 是一款管理 Starlink 設備的替代工具，借此部署 Sliver 后滲透框架。與該威脅行為者相關的另一個網站（“alphafly - drones [.] com”）利用惡意無人機模擬器應用程序，可能投放了 SoullessRAT，這是一個 Windows 木馬程序，能夠運行命令、上傳文件、截圖并執行二進制文件。

• “Eagle Werewolf”，這是一個此前未被記錄的威脅組織，它入侵了以無人機為主題的 Telegram 頻道，通過一個偽裝成 Starlink 設備激活檢查表的 Rust 下載器分發 AquilaRAT。AquilaRAT 是一個基于 Rust 的木馬程序，能夠執行文件操作和運行命令。

俄羅斯網絡安全公司 BI.ZONE 表示：“盡管這些集群有著共同目標并采用類似技術，但它們是自主運作的，沒有直接協調的證據。除了分發惡意軟件，‘Paper Werewolf’ 還劫持 Telegram 賬戶，該集群可能將其用作支持未來攻擊的可信渠道?！甐ersatile Werewolf’ 利用生成式人工智能開發攻擊中使用的工具，加快開發進程?！?/p>

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！