“幻影核心” 利用 TrueConf 漏洞入侵俄罗斯网络
- 浏览次数 26
- 喜欢 0
HackerNews 编译,转载请注明出处:
自 2025 年 9 月起,一个名为 “幻影核心”(PhantomCore)的亲乌克兰黑客行动主义组织,被指积极攻击俄罗斯境内运行 TrueConf 视频会议软件的服务器。
这一消息源自 Positive Technologies 发布的一份报告,该报告发现,威胁行为者利用由三个漏洞组成的漏洞链,在易受攻击的服务器上远程执行命令。
研究人员丹尼尔・格里戈里扬(Daniil Grigoryan)和格奥尔基・坎多日科(Georgy Khandozhko)表示:“尽管这条漏洞链没有公开可用的漏洞利用程序,但‘幻影核心’的攻击者设法展开研究并复现了这些漏洞,这导致俄罗斯众多组织遭受攻击。”
“幻影核心” 也被称为 “仙女骗子”(Fairy Trickster)、“母马头领”(Head Mare)、“彩虹鬣狗”(Rainbow Hyena)和 UNG0901,它是一个出于政治和经济动机的黑客组织,自 2022 年俄乌战争爆发后开始活跃。该组织发动的攻击以窃取敏感数据和破坏目标网络为特点,在某些情况下,甚至会基于 Babuk 和 LockBit 泄露的源代码部署勒索软件。
Positive Technologies 早在 2025 年 9 月就指出:“该组织开展大规模行动的同时,通过不断更新和改进内部攻击工具,保持高度隐蔽性,能长时间在受害者网络中不被察觉。”
此次攻击中被利用的 TrueConf 服务器漏洞如下:
- BDU:2025 - 10114(CVSS 评分:7.5)—— 这是一个访问控制不足漏洞,攻击者可借此在未经身份验证的情况下,向某些管理端点(/admin/*)发出请求。
- BDU:2025 - 10115(CVSS 评分:7.5)—— 此漏洞使攻击者能够读取系统上的任意文件。
- BDU - 2025 - 10116(CVSS 评分:9.8)—— 这是一个命令注入漏洞,攻击者可利用它执行任意操作系统命令。
成功利用这三个漏洞,攻击者就能绕过身份验证并访问组织网络。据 Positive Technologies 称,尽管 TrueConf 在 2025 年 8 月 27 日发布了针对这些问题的安全补丁,但针对 TrueConf 服务器的首次攻击在 2025 年 9 月中旬左右就被检测到。
在俄罗斯这家安全供应商观察到的攻击中,TrueConf 服务器被攻陷后,威胁行为者将其作为跳板,在内部网络中横向移动,并投放恶意有效载荷,以进行侦察、躲避防御、获取凭证,还利用隧道工具建立通信通道。
据说至少有一次成功的入侵导致部署了一个基于 PHP 的 Web shell,它能够向受感染主机上传文件并执行远程命令,同时还有一个 PHP 文件充当代理服务器,将恶意请求伪装成来自合法服务器。
作为攻击一部分所投放的其他一些工具如下:
- “幻影 PxPigeon”,这是一个恶意的 TrueConf 视频会议客户端,它实现了反向 shell 功能,可连接到远程服务器并接收后续执行的任务,能够运行命令、启动可执行文件,并允许流量通过上述 Web shell 进行代理。
- “幻影 Sscp”(DLL)、“MacTunnelRat”(PowerShell)、“幻影 ProxyLite”(PowerShell),用于通过反向 SSH 隧道在被入侵环境中建立据点。
- “ADRecon”,用于侦察。
- “Veeam - Get - Creds”,这是一个经过修改的 PowerShell 脚本版本,用于恢复与 Veeam 备份与复制软件相关的密码。
- “DumpIt” 和 “MemProcFS”,用于获取凭证。
- Windows 远程管理(WinRM)和远程桌面协议(RDP),用于在网络范围内横向移动。
- “Velociraptor”,用于远程访问。
- “microsocks”、“rsocx” 和 “tsocks”,用于通过 SOCKS 代理从攻击者控制的基础设施控制被攻陷的主机。
部分入侵利用一个 DLL 在被攻陷的视频会议服务器上创建了一个名为 “TrueConf2” 的具有管理权限的恶意用户。
直至 2026 年 1 月和 2 月,“幻影核心” 的攻击链还被发现利用网络钓鱼诱饵来初步渗透俄罗斯组织,通过精心制作的 ZIP 或 RAR 压缩包分发一种后门程序,该后门可在主机上运行远程命令并提供任意有效载荷。
研究人员总结道:“‘幻影核心’ 是俄罗斯威胁格局中最活跃的组织之一。其武器库既包括公开可用的工具(如 Velociraptor、Memprocfs、Dokan、DumpIt),也有专有工具(如 MacTunnelRAT、幻影 Sscp、幻影 ProxyLite)。该组织的目标涵盖政府及众多行业的私营组织。‘幻影核心’ 积极寻找国产软件中的漏洞,开发漏洞利用程序,从而具备渗透大量俄罗斯公司的能力。”
近几个月来,俄罗斯的工业和航空领域成为一个名为 CapFIX 的经济动机组织策划的网络钓鱼活动的目标,该组织部署了一种名为 CapDoor 的后门程序,它可以运行从远程服务器获取的 PowerShell 命令、DLL 和可执行文件,安装 MSI 文件,并进行截图。“CapFIX” 这一名称源于 CapDoor 在 2025 年首次被发现,当时是通过 “ClickFix” 社会工程策略进行分发。
对该威胁行为者在 2025 年 10 月和 11 月活动的深入分析发现,其利用 ClickFix 部署了如 AsyncRAT 和 SectopRAT 等现成的恶意软件家族。
Positive Technologies 表示:“虽然该组织此前依赖以金融为主题的网络钓鱼电子邮件(加密货币及任何与金钱相关的内容),但他们现在越来越多地将电子邮件伪装成政府机构的官方通信。”
“幻影核心” 和 CapFIX 属于越来越多针对俄罗斯实体发动攻击的威胁活动集群。其他一些知名组织包括:
- “Geo Likho”,自 2024 年 7 月起主要针对俄罗斯和白俄罗斯的航空和航运部门,通过网络钓鱼攻击投放信息窃取恶意软件。在德国、塞尔维亚和香港也检测到个别感染案例,疑似为意外情况。
- “Mythic Likho”,通过电子邮件中的网络钓鱼诱饵投放 HuLoader、Merlin(一种 Mythic 代理)或 ReflectPulse 等加载程序,这些加载程序旨在解包最终有效载荷 —— 一个名为 Loki 的后门程序,它是与 Havoc 后渗透框架兼容的 Mythic 版本代理。有证据表明,该组织与另一个名为 ExCobalt 的组织有关联,因为其使用了后者的专有 rootkit “Megatsune”。
- “Paper Werewolf”(又名 GOFFEE),利用一个专门的 Telegram 频道,以将 Starlink 设备添加到例外列表的工具为幌子,分发一个名为 EchoGather 的木马程序,此外还分享指向网络钓鱼页面的链接,旨在获取受害者的 Telegram 账户凭证。还观察到该组织利用一个虚假网站宣传无人机飞行模拟器来投放 EchoGather。
- “Versatile Werewolf”(又名 HeartlessSoul),利用一个虚假网站(“stardebug [.] app”)分发 Star Debug 的虚假 MSI 安装程序,Star Debug 是一款管理 Starlink 设备的替代工具,借此部署 Sliver 后渗透框架。与该威胁行为者相关的另一个网站(“alphafly - drones [.] com”)利用恶意无人机模拟器应用程序,可能投放了 SoullessRAT,这是一个 Windows 木马程序,能够运行命令、上传文件、截图并执行二进制文件。
- “Eagle Werewolf”,这是一个此前未被记录的威胁组织,它入侵了以无人机为主题的 Telegram 频道,通过一个伪装成 Starlink 设备激活检查表的 Rust 下载器分发 AquilaRAT。AquilaRAT 是一个基于 Rust 的木马程序,能够执行文件操作和运行命令。
俄罗斯网络安全公司 BI.ZONE 表示:“尽管这些集群有着共同目标并采用类似技术,但它们是自主运作的,没有直接协调的证据。除了分发恶意软件,‘Paper Werewolf’ 还劫持 Telegram 账户,该集群可能将其用作支持未来攻击的可信渠道。‘Versatile Werewolf’ 利用生成式人工智能开发攻击中使用的工具,加快开发进程。”
消息来源:thehackernews.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文