程序园

标题: “幻影核心” 利用 TrueConf 漏洞入侵俄罗斯网络 [打印本页]

作者: admin 时间: 11 小时前
标题: “幻影核心” 利用 TrueConf 漏洞入侵俄罗斯网络
(, 下载次数: 0)

自 2025 年 9 月起，一个名为 “幻影核心”（PhantomCore）的亲乌克兰黑客行动主义组织，被指积极攻击俄罗斯境内运行 TrueConf 视频会议软件的服务器。

这一消息源自 Positive Technologies 发布的一份报告，该报告发现，威胁行为者利用由三个漏洞组成的漏洞链，在易受攻击的服务器上远程执行命令。

研究人员丹尼尔・格里戈里扬（Daniil Grigoryan）和格奥尔基・坎多日科（Georgy Khandozhko）表示：“尽管这条漏洞链没有公开可用的漏洞利用程序，但‘幻影核心’的攻击者设法展开研究并复现了这些漏洞，这导致俄罗斯众多组织遭受攻击。”

“幻影核心” 也被称为 “仙女骗子”（Fairy Trickster）、“母马头领”（Head Mare）、“彩虹鬣狗”（Rainbow Hyena）和 UNG0901，它是一个出于政治和经济动机的黑客组织，自 2022 年俄乌战争爆发后开始活跃。该组织发动的攻击以窃取敏感数据和破坏目标网络为特点，在某些情况下，甚至会基于 Babuk 和 LockBit 泄露的源代码部署勒索软件。

Positive Technologies 早在 2025 年 9 月就指出：“该组织开展大规模行动的同时，通过不断更新和改进内部攻击工具，保持高度隐蔽性，能长时间在受害者网络中不被察觉。”

此次攻击中被利用的 TrueConf 服务器漏洞如下：

BDU:2025 - 10114（CVSS 评分：7.5）—— 这是一个访问控制不足漏洞，攻击者可借此在未经身份验证的情况下，向某些管理端点（/admin/*）发出请求。
BDU:2025 - 10115（CVSS 评分：7.5）—— 此漏洞使攻击者能够读取系统上的任意文件。
BDU - 2025 - 10116（CVSS 评分：9.8）—— 这是一个命令注入漏洞，攻击者可利用它执行任意操作系统命令。

成功利用这三个漏洞，攻击者就能绕过身份验证并访问组织网络。据 Positive Technologies 称，尽管 TrueConf 在 2025 年 8 月 27 日发布了针对这些问题的安全补丁，但针对 TrueConf 服务器的首次攻击在 2025 年 9 月中旬左右就被检测到。

在俄罗斯这家安全供应商观察到的攻击中，TrueConf 服务器被攻陷后，威胁行为者将其作为跳板，在内部网络中横向移动，并投放恶意有效载荷，以进行侦察、躲避防御、获取凭证，还利用隧道工具建立通信通道。

据说至少有一次成功的入侵导致部署了一个基于 PHP 的 Web shell，它能够向受感染主机上传文件并执行远程命令，同时还有一个 PHP 文件充当代理服务器，将恶意请求伪装成来自合法服务器。

作为攻击一部分所投放的其他一些工具如下：

“幻影 PxPigeon”，这是一个恶意的 TrueConf 视频会议客户端，它实现了反向 shell 功能，可连接到远程服务器并接收后续执行的任务，能够运行命令、启动可执行文件，并允许流量通过上述 Web shell 进行代理。
“幻影 Sscp”（DLL）、“MacTunnelRat”（PowerShell）、“幻影 ProxyLite”（PowerShell），用于通过反向 SSH 隧道在被入侵环境中建立据点。
“ADRecon”，用于侦察。
“Veeam - Get - Creds”，这是一个经过修改的 PowerShell 脚本版本，用于恢复与 Veeam 备份与复制软件相关的密码。
“DumpIt” 和 “MemProcFS”，用于获取凭证。
Windows 远程管理（WinRM）和远程桌面协议（RDP），用于在网络范围内横向移动。
“Velociraptor”，用于远程访问。
“microsocks”、“rsocx” 和 “tsocks”，用于通过 SOCKS 代理从攻击者控制的基础设施控制被攻陷的主机。

部分入侵利用一个 DLL 在被攻陷的视频会议服务器上创建了一个名为 “TrueConf2” 的具有管理权限的恶意用户。

直至 2026 年 1 月和 2 月，“幻影核心” 的攻击链还被发现利用网络钓鱼诱饵来初步渗透俄罗斯组织，通过精心制作的 ZIP 或 RAR 压缩包分发一种后门程序，该后门可在主机上运行远程命令并提供任意有效载荷。

研究人员总结道：“‘幻影核心’ 是俄罗斯威胁格局中最活跃的组织之一。其武器库既包括公开可用的工具（如 Velociraptor、Memprocfs、Dokan、DumpIt），也有专有工具（如 MacTunnelRAT、幻影 Sscp、幻影 ProxyLite）。该组织的目标涵盖政府及众多行业的私营组织。‘幻影核心’ 积极寻找国产软件中的漏洞，开发漏洞利用程序，从而具备渗透大量俄罗斯公司的能力。”

近几个月来，俄罗斯的工业和航空领域成为一个名为 CapFIX 的经济动机组织策划的网络钓鱼活动的目标，该组织部署了一种名为 CapDoor 的后门程序，它可以运行从远程服务器获取的 PowerShell 命令、DLL 和可执行文件，安装 MSI 文件，并进行截图。“CapFIX” 这一名称源于 CapDoor 在 2025 年首次被发现，当时是通过 “ClickFix” 社会工程策略进行分发。

对该威胁行为者在 2025 年 10 月和 11 月活动的深入分析发现，其利用 ClickFix 部署了如 AsyncRAT 和 SectopRAT 等现成的恶意软件家族。

Positive Technologies 表示：“虽然该组织此前依赖以金融为主题的网络钓鱼电子邮件（加密货币及任何与金钱相关的内容），但他们现在越来越多地将电子邮件伪装成政府机构的官方通信。”

“幻影核心” 和 CapFIX 属于越来越多针对俄罗斯实体发动攻击的威胁活动集群。其他一些知名组织包括：

“Geo Likho”，自 2024 年 7 月起主要针对俄罗斯和白俄罗斯的航空和航运部门，通过网络钓鱼攻击投放信息窃取恶意软件。在德国、塞尔维亚和香港也检测到个别感染案例，疑似为意外情况。
“Mythic Likho”，通过电子邮件中的网络钓鱼诱饵投放 HuLoader、Merlin（一种 Mythic 代理）或 ReflectPulse 等加载程序，这些加载程序旨在解包最终有效载荷 —— 一个名为 Loki 的后门程序，它是与 Havoc 后渗透框架兼容的 Mythic 版本代理。有证据表明，该组织与另一个名为 ExCobalt 的组织有关联，因为其使用了后者的专有 rootkit “Megatsune”。
“Paper Werewolf”（又名 GOFFEE），利用一个专门的 Telegram 频道，以将 Starlink 设备添加到例外列表的工具为幌子，分发一个名为 EchoGather 的木马程序，此外还分享指向网络钓鱼页面的链接，旨在获取受害者的 Telegram 账户凭证。还观察到该组织利用一个虚假网站宣传无人机飞行模拟器来投放 EchoGather。
“Versatile Werewolf”（又名 HeartlessSoul），利用一个虚假网站（“stardebug [.] app”）分发 Star Debug 的虚假 MSI 安装程序，Star Debug 是一款管理 Starlink 设备的替代工具，借此部署 Sliver 后渗透框架。与该威胁行为者相关的另一个网站（“alphafly - drones [.] com”）利用恶意无人机模拟器应用程序，可能投放了 SoullessRAT，这是一个 Windows 木马程序，能够运行命令、上传文件、截图并执行二进制文件。
“Eagle Werewolf”，这是一个此前未被记录的威胁组织，它入侵了以无人机为主题的 Telegram 频道，通过一个伪装成 Starlink 设备激活检查表的 Rust 下载器分发 AquilaRAT。AquilaRAT 是一个基于 Rust 的木马程序，能够执行文件操作和运行命令。

俄罗斯网络安全公司 BI.ZONE 表示：“尽管这些集群有着共同目标并采用类似技术，但它们是自主运作的，没有直接协调的证据。除了分发恶意软件，‘Paper Werewolf’ 还劫持 Telegram 账户，该集群可能将其用作支持未来攻击的可信渠道。‘Versatile Werewolf’ 利用生成式人工智能开发攻击中使用的工具，加快开发进程。”

欢迎光临程序园 (https://www.cxy5.com/)