“幻影核心” 利用 TrueConf 漏洞入侵俄罗斯网络

自 2025 年 9 月起，一个名为 “幻影核心”（PhantomCore）的亲乌克兰黑客行动主义组织，被指积极攻击俄罗斯境内运行 TrueConf 视频会议软件的服务器。

这一消息源自 Positive Technologies 发布的一份报告，该报告发现，威胁行为者利用由三个漏洞组成的漏洞链，在易受攻击的服务器上远程执行命令。

研究人员丹尼尔・格里戈里扬（Daniil Grigoryan）和格奥尔基・坎多日科（Georgy Khandozhko）表示：“尽管这条漏洞链没有公开可用的漏洞利用程序，但‘幻影核心’的攻击者设法展开研究并复现了这些漏洞，这导致俄罗斯众多组织遭受攻击。”

“幻影核心” 也被称为 “仙女骗子”（Fairy Trickster）、“母马头领”（Head Mare）、“彩虹鬣狗”（Rainbow Hyena）和 UNG0901，它是一个出于政治和经济动机的黑客组织，自 2022 年俄乌战争爆发后开始活跃。该组织发动的攻击以窃取敏感数据和破坏目标网络为特点，在某些情况下，甚至会基于 Babuk 和 LockBit 泄露的源代码部署勒索软件。

Positive Technologies 早在 2025 年 9 月就指出：“该组织开展大规模行动的同时，通过不断更新和改进内部攻击工具，保持高度隐蔽性，能长时间在受害者网络中不被察觉。”

此次攻击中被利用的 TrueConf 服务器漏洞如下：

• BDU:2025 - 10114（CVSS 评分：7.5）—— 这是一个访问控制不足漏洞，攻击者可借此在未经身份验证的情况下，向某些管理端点（/admin/*）发出请求。
• BDU:2025 - 10115（CVSS 评分：7.5）—— 此漏洞使攻击者能够读取系统上的任意文件。
• BDU - 2025 - 10116（CVSS 评分：9.8）—— 这是一个命令注入漏洞，攻击者可利用它执行任意操作系统命令。
  
  

成功利用这三个漏洞，攻击者就能绕过身份验证并访问组织网络。据 Positive Technologies 称，尽管 TrueConf 在 2025 年 8 月 27 日发布了针对这些问题的安全补丁，但针对 TrueConf 服务器的首次攻击在 2025 年 9 月中旬左右就被检测到。

在俄罗斯这家安全供应商观察到的攻击中，TrueConf 服务器被攻陷后，威胁行为者将其作为跳板，在内部网络中横向移动，并投放恶意有效载荷，以进行侦察、躲避防御、获取凭证，还利用隧道工具建立通信通道。

据说至少有一次成功的入侵导致部署了一个基于 PHP 的 Web shell，它能够向受感染主机上传文件并执行远程命令，同时还有一个 PHP 文件充当代理服务器，将恶意请求伪装成来自合法服务器。

作为攻击一部分所投放的其他一些工具如下：

• “幻影 PxPigeon”，这是一个恶意的 TrueConf 视频会议客户端，它实现了反向 shell 功能，可连接到远程服务器并接收后续执行的任务，能够运行命令、启动可执行文件，并允许流量通过上述 Web shell 进行代理。
• “幻影 Sscp”（DLL）、“MacTunnelRat”（PowerShell）、“幻影 ProxyLite”（PowerShell），用于通过反向 SSH 隧道在被入侵环境中建立据点。
• “ADRecon”，用于侦察。
• “Veeam - Get - Creds”，这是一个经过修改的 PowerShell 脚本版本，用于恢复与 Veeam 备份与复制软件相关的密码。
• “DumpIt” 和 “MemProcFS”，用于获取凭证。
• Windows 远程管理（WinRM）和远程桌面协议（RDP），用于在网络范围内横向移动。
• “Velociraptor”，用于远程访问。
• “microsocks”、“rsocx” 和 “tsocks”，用于通过 SOCKS 代理从攻击者控制的基础设施控制被攻陷的主机。
  
  

部分入侵利用一个 DLL 在被攻陷的视频会议服务器上创建了一个名为 “TrueConf2” 的具有管理权限的恶意用户。

直至 2026 年 1 月和 2 月，“幻影核心” 的攻击链还被发现利用网络钓鱼诱饵来初步渗透俄罗斯组织，通过精心制作的 ZIP 或 RAR 压缩包分发一种后门程序，该后门可在主机上运行远程命令并提供任意有效载荷。

研究人员总结道：“‘幻影核心’ 是俄罗斯威胁格局中最活跃的组织之一。其武器库既包括公开可用的工具（如 Velociraptor、Memprocfs、Dokan、DumpIt），也有专有工具（如 MacTunnelRAT、幻影 Sscp、幻影 ProxyLite）。该组织的目标涵盖政府及众多行业的私营组织。‘幻影核心’ 积极寻找国产软件中的漏洞，开发漏洞利用程序，从而具备渗透大量俄罗斯公司的能力。”

近几个月来，俄罗斯的工业和航空领域成为一个名为 CapFIX 的经济动机组织策划的网络钓鱼活动的目标，该组织部署了一种名为 CapDoor 的后门程序，它可以运行从远程服务器获取的 PowerShell 命令、DLL 和可执行文件，安装 MSI 文件，并进行截图。“CapFIX” 这一名称源于 CapDoor 在 2025 年首次被发现，当时是通过 “ClickFix” 社会工程策略进行分发。

对该威胁行为者在 2025 年 10 月和 11 月活动的深入分析发现，其利用 ClickFix 部署了如 AsyncRAT 和 SectopRAT 等现成的恶意软件家族。

Positive Technologies 表示：“虽然该组织此前依赖以金融为主题的网络钓鱼电子邮件（加密货币及任何与金钱相关的内容），但他们现在越来越多地将电子邮件伪装成政府机构的官方通信。”

“幻影核心” 和 CapFIX 属于越来越多针对俄罗斯实体发动攻击的威胁活动集群。其他一些知名组织包括：

• “Geo Likho”，自 2024 年 7 月起主要针对俄罗斯和白俄罗斯的航空和航运部门，通过网络钓鱼攻击投放信息窃取恶意软件。在德国、塞尔维亚和香港也检测到个别感染案例，疑似为意外情况。
• “Mythic Likho”，通过电子邮件中的网络钓鱼诱饵投放 HuLoader、Merlin（一种 Mythic 代理）或 ReflectPulse 等加载程序，这些加载程序旨在解包最终有效载荷 —— 一个名为 Loki 的后门程序，它是与 Havoc 后渗透框架兼容的 Mythic 版本代理。有证据表明，该组织与另一个名为 ExCobalt 的组织有关联，因为其使用了后者的专有 rootkit “Megatsune”。
• “Paper Werewolf”（又名 GOFFEE），利用一个专门的 Telegram 频道，以将 Starlink 设备添加到例外列表的工具为幌子，分发一个名为 EchoGather 的木马程序，此外还分享指向网络钓鱼页面的链接，旨在获取受害者的 Telegram 账户凭证。还观察到该组织利用一个虚假网站宣传无人机飞行模拟器来投放 EchoGather。
• “Versatile Werewolf”（又名 HeartlessSoul），利用一个虚假网站（“stardebug [.] app”）分发 Star Debug 的虚假 MSI 安装程序，Star Debug 是一款管理 Starlink 设备的替代工具，借此部署 Sliver 后渗透框架。与该威胁行为者相关的另一个网站（“alphafly - drones [.] com”）利用恶意无人机模拟器应用程序，可能投放了 SoullessRAT，这是一个 Windows 木马程序，能够运行命令、上传文件、截图并执行二进制文件。
• “Eagle Werewolf”，这是一个此前未被记录的威胁组织，它入侵了以无人机为主题的 Telegram 频道，通过一个伪装成 Starlink 设备激活检查表的 Rust 下载器分发 AquilaRAT。AquilaRAT 是一个基于 Rust 的木马程序，能够执行文件操作和运行命令。
  
  

俄罗斯网络安全公司 BI.ZONE 表示：“尽管这些集群有着共同目标并采用类似技术，但它们是自主运作的，没有直接协调的证据。除了分发恶意软件，‘Paper Werewolf’ 还劫持 Telegram 账户，该集群可能将其用作支持未来攻击的可信渠道。‘Versatile Werewolf’ 利用生成式人工智能开发攻击中使用的工具，加快开发进程。”