亲乌黑客组织PhantomCore利用 TrueConf 漏洞攻破俄罗斯网络,并且窃取大量敏感数据并扰乱目标网络
一个名为PhantomCore的亲乌克兰黑客行动组织被归咎于自2025年9月以来,针对俄罗斯运行TrueConf视频会议软件服务器的攻击。
这是根据Positive Technologies发布的一份报告,该报告发现威胁行为者利用由三个漏洞组成的漏洞链,远程执行易受攻击的服务器上的命令。
研究人员Daniil Grigoryan和Georgy Khandozhko表示:“尽管公众访问中没有针对这条漏洞链的利用方法,PhantomCore的攻击者仍设法开展研究并重现了漏洞,导致其在俄罗斯组织中出现了大量此类活动案例。”
PhantomCore,也被称为仙女骗子、头马、彩虹鬣狗和UNG0901,是自2022年俄乌战争后活跃起来的政治和财务动机黑客团队的名称。
该组织发动的攻击已知会窃取敏感数据并扰乱目标网络,有时甚至基于泄露的Babuk和LockBit源代码部署勒索软件。
公司在2025年9月指出:“该组织在进行大规模行动的同时,保持强大的隐形能力——在受害者网络中长时间隐形——这得益于持续更新和内部攻击工具的演进。”
以下列出了被攻击中被利用的TrueConf服务器漏洞——
BDU:2025-10114(CVSS 评分:7.5)——一个访问控制不足的漏洞,可能允许攻击者在未认证的情况下向某些管理端点(/admin/*)发送请求。
BDU:2025-10115(CVSS 评分:7.5)——一个可能允许攻击者读取系统中任意文件的漏洞。
BDU-2025-10116(CVSS 评分:9.8)——一个命令注入漏洞,可能允许攻击者执行任意操作系统命令。
成功利用这三个漏洞可能使攻击者绕过身份验证,获得组织网络访问权限。
尽管TrueConf于2025年8月27日发布了针对这些问题的安全补丁,但据Positive Technologies报道,针对TrueConf服务器的首批攻击是在2025年9月中旬左右被发现的。
网络安全
在俄罗斯安全厂商观察到的攻击中,TrueConf服务器的被攻破使威胁行为者能够利用其作为跳板,横向移动内部网络,投放恶意载荷以促进侦察、防御规避和凭证收集,同时利用隧道工具建立通信通道。
据说至少有一次成功的攻破导致了基于PHP的网页外壳的部署,该壳能够上传文件到被感染的主机并执行远程命令,同时还有一个PHP文件作为代理服务器,将恶意请求伪装成来自合法服务器。
作为攻击一部分提供的其他工具如下
PhantomPxPigeon,一个恶意的TrueConf视频会议客户端,它实现了反向shell,连接远程服务器并接收后续执行任务,允许它运行命令、启动可执行文件,并允许流量通过上述网页壳代理。
PhantomSscp(DLL)、MacTunnelRat(PowerShell)、PhantomProxyLite(PowerShell),用于通过反向SSH隧道在被攻破环境中建立立足点
ADRecon,用于侦察
Veeam-Get-Creds,是PowerShell脚本的修改版本,用于恢复与Veeam备份与复制软件相关的密码
DumpIt 和 MemProcFS,用于凭证收获
Windows 远程管理(WinRM)和远程桌面协议(RDP),用于网络边界内的横向移动 和 用于远程访问
Microsocks、RSOCX 和 TSOCKS,用于通过 SOCKS 代理控制被攻击者控制的基础设施中被攻破的主机
部分入侵利用DLL创建了一个名为“TrueConf2”的恶意用户,该用户拥有被攻破视频会议服务器的管理员权限。
PhantomCore 的攻击链还被发现利用钓鱼诱饵首次访问俄罗斯组织,最近一次是在 2026 年 1 月和 2 月,利用精心设计的 ZIP 或 RAR 档案分发后门,该后门可以在主机上运行远程命令并服务任意负载。
研究人员总结道:“PhantomCore 小组是俄罗斯威胁格局中最活跃的团体之一。
”“其武器库包括公开工具(Velociraptor、Memprocfs、Dokan、DumpIt)和专有工具(MacTunnelRAT、PhantomSscp、PhantomProxyLite)。
该组织针对政府和私营组织,涵盖多个行业。”
“PhantomCore 积极搜索国内软件漏洞,开发漏洞利用,从而获得了渗透大量俄罗斯公司的能力。”
近几个月来,俄罗斯的工业和航空行业成为由一个名为CapFIX的金融动机组织策划的钓鱼攻击的目标,该组织部署了一个名为CapDoor的后门,可以运行PowerShell命令、DLL和从远程服务器获取的可执行文件,安装MSI文件并截图。
CapFIX 这一名称指的是 CapDoor 最早于2025年被发现,当时通过 ClickFix 的社交工程策略分发。
PhantomCore 和 CapFIX 是日益增长的威胁活动集群之一,这些集群已对俄罗斯实体发动攻击。其他一些著名团体包括:
自2024年7月以来,Geo Likho主要针对俄罗斯和白俄罗斯的航空和航运行业,使用钓鱼攻击传递信息窃取恶意软件。
德国、塞尔维亚和香港也检测到零星感染,怀疑为意外感染。
Mythic Likho,通过电子邮件钓鱼诱饵传递像HuLoader、Merlin(Mythic代理)或ReflectPulse这样的加载器,这些加载器旨在解包最终有效载荷,后门名为Loki,是为Havoc后利用框架设计的Mythic兼容代理版本。
证据显示该组织与另一个名为ExCobalt的组织有联系,原因是后者使用了专有rootkitMegatsune。
Paper Werewolf(又名GOFFEE)利用专门的Telegram频道,伪装成将Starlink设备加入例外列表的工具,传播名为EchoGather的木马,同时分享钓鱼页面链接,这些页面旨在收集受害者的Telegram账户凭证。
该组织还被观察到利用一个虚假网站宣传无人机驾驶模拟器,投放EchoGather。
多才多艺的狼人(又名无心灵),它使用了一个虚假网站(“stardebug[.]])。“app”)以分发一个虚假的 MSI 安装程序,用于 Star Debug 的替代工具,用于管理 Starlink 设备,以部署 Sliver 的漏洞后处理框架。
另一个与威胁行为者相关的网站(“alphafly-drones[.]“com”)曾使用流氓无人机模拟应用,很可能是发布了SoullessRAT,这是一种可以运行命令、上传文件、截图和执行二进制文件的Windows木马。
Eagle Werewolf,一个此前未公开的威胁组织,曾攻破以无人机为中心的Telegram频道,通过一个伪装成Starlink设备激活清单的Rust滴管分发AquilaRAT。
基于Rust的木马AquilaRAT可以执行文件操作和执行命令。
俄罗斯网络安全公司BI ZONE说称:“尽管有共同目标并采用类似技术,这些集群却自主运作,没有直接协调的迹象。
“除了传播恶意软件,纸狼还劫持了Telegram账户。集群很可能将这些信道作为可信信道,以支持未来的攻击。
Versatile Werewolf利用生成式人工智能开发用于攻击的工具,加快了开发进程。”
研究人员Daniil Grigoryan和Georgy Khandozhko表示:“尽管公众访问中没有针对这条漏洞链的利用方法,PhantomCore的攻击者仍设法开展研究并重现了漏洞,导致其在俄罗斯组织中出现了大量此类活动案例。”
PhantomCore,也被称为仙女骗子、头马、彩虹鬣狗和UNG0901,是自2022年俄乌战争后活跃起来的政治和财务动机黑客团队的名称。
该组织发动的攻击已知会窃取敏感数据并扰乱目标网络,有时甚至基于泄露的Babuk和LockBit源代码部署勒索软件。
公司在2025年9月指出:“该组织在进行大规模行动的同时,保持强大的隐形能力——在受害者网络中长时间隐形——这得益于持续更新和内部攻击工具的演进。”
以下列出了被攻击中被利用的TrueConf服务器漏洞——
BDU:2025-10114(CVSS 评分:7.5)——一个访问控制不足的漏洞,可能允许攻击者在未认证的情况下向某些管理端点(/admin/*)发送请求。
BDU:2025-10115(CVSS 评分:7.5)——一个可能允许攻击者读取系统中任意文件的漏洞。
BDU-2025-10116(CVSS 评分:9.8)——一个命令注入漏洞,可能允许攻击者执行任意操作系统命令。
成功利用这三个漏洞可能使攻击者绕过身份验证,获得组织网络访问权限。
尽管TrueConf于2025年8月27日发布了针对这些问题的安全补丁,但据Positive Technologies报道,针对TrueConf服务器的首批攻击是在2025年9月中旬左右被发现的。
网络安全
在俄罗斯安全厂商观察到的攻击中,TrueConf服务器的被攻破使威胁行为者能够利用其作为跳板,横向移动内部网络,投放恶意载荷以促进侦察、防御规避和凭证收集,同时利用隧道工具建立通信通道。
据说至少有一次成功的攻破导致了基于PHP的网页外壳的部署,该壳能够上传文件到被感染的主机并执行远程命令,同时还有一个PHP文件作为代理服务器,将恶意请求伪装成来自合法服务器。
作为攻击一部分提供的其他工具如下
PhantomPxPigeon,一个恶意的TrueConf视频会议客户端,它实现了反向shell,连接远程服务器并接收后续执行任务,允许它运行命令、启动可执行文件,并允许流量通过上述网页壳代理。
PhantomSscp(DLL)、MacTunnelRat(PowerShell)、PhantomProxyLite(PowerShell),用于通过反向SSH隧道在被攻破环境中建立立足点
ADRecon,用于侦察
Veeam-Get-Creds,是PowerShell脚本的修改版本,用于恢复与Veeam备份与复制软件相关的密码
DumpIt 和 MemProcFS,用于凭证收获
Windows 远程管理(WinRM)和远程桌面协议(RDP),用于网络边界内的横向移动 和 用于远程访问
Microsocks、RSOCX 和 TSOCKS,用于通过 SOCKS 代理控制被攻击者控制的基础设施中被攻破的主机
部分入侵利用DLL创建了一个名为“TrueConf2”的恶意用户,该用户拥有被攻破视频会议服务器的管理员权限。
PhantomCore 的攻击链还被发现利用钓鱼诱饵首次访问俄罗斯组织,最近一次是在 2026 年 1 月和 2 月,利用精心设计的 ZIP 或 RAR 档案分发后门,该后门可以在主机上运行远程命令并服务任意负载。
研究人员总结道:“PhantomCore 小组是俄罗斯威胁格局中最活跃的团体之一。
”“其武器库包括公开工具(Velociraptor、Memprocfs、Dokan、DumpIt)和专有工具(MacTunnelRAT、PhantomSscp、PhantomProxyLite)。
该组织针对政府和私营组织,涵盖多个行业。”
“PhantomCore 积极搜索国内软件漏洞,开发漏洞利用,从而获得了渗透大量俄罗斯公司的能力。”
近几个月来,俄罗斯的工业和航空行业成为由一个名为CapFIX的金融动机组织策划的钓鱼攻击的目标,该组织部署了一个名为CapDoor的后门,可以运行PowerShell命令、DLL和从远程服务器获取的可执行文件,安装MSI文件并截图。
CapFIX 这一名称指的是 CapDoor 最早于2025年被发现,当时通过 ClickFix 的社交工程策略分发。
PhantomCore 和 CapFIX 是日益增长的威胁活动集群之一,这些集群已对俄罗斯实体发动攻击。其他一些著名团体包括:
自2024年7月以来,Geo Likho主要针对俄罗斯和白俄罗斯的航空和航运行业,使用钓鱼攻击传递信息窃取恶意软件。
德国、塞尔维亚和香港也检测到零星感染,怀疑为意外感染。
Mythic Likho,通过电子邮件钓鱼诱饵传递像HuLoader、Merlin(Mythic代理)或ReflectPulse这样的加载器,这些加载器旨在解包最终有效载荷,后门名为Loki,是为Havoc后利用框架设计的Mythic兼容代理版本。
证据显示该组织与另一个名为ExCobalt的组织有联系,原因是后者使用了专有rootkitMegatsune。
Paper Werewolf(又名GOFFEE)利用专门的Telegram频道,伪装成将Starlink设备加入例外列表的工具,传播名为EchoGather的木马,同时分享钓鱼页面链接,这些页面旨在收集受害者的Telegram账户凭证。
该组织还被观察到利用一个虚假网站宣传无人机驾驶模拟器,投放EchoGather。
多才多艺的狼人(又名无心灵),它使用了一个虚假网站(“stardebug[.]])。“app”)以分发一个虚假的 MSI 安装程序,用于 Star Debug 的替代工具,用于管理 Starlink 设备,以部署 Sliver 的漏洞后处理框架。
另一个与威胁行为者相关的网站(“alphafly-drones[.]“com”)曾使用流氓无人机模拟应用,很可能是发布了SoullessRAT,这是一种可以运行命令、上传文件、截图和执行二进制文件的Windows木马。
Eagle Werewolf,一个此前未公开的威胁组织,曾攻破以无人机为中心的Telegram频道,通过一个伪装成Starlink设备激活清单的Rust滴管分发AquilaRAT。
基于Rust的木马AquilaRAT可以执行文件操作和执行命令。
俄罗斯网络安全公司BI ZONE说称:“尽管有共同目标并采用类似技术,这些集群却自主运作,没有直接协调的迹象。
“除了传播恶意软件,纸狼还劫持了Telegram账户。集群很可能将这些信道作为可信信道,以支持未来的攻击。
Versatile Werewolf利用生成式人工智能开发用于攻击的工具,加快了开发进程。”
关于作者
评论1次
TrueConf这个CVE-2025-10116给到9.8分确实猛,命令注入直接RCE,组合拳打起来很顺畅。PhantomCore这帮人挺能折腾的,自己复现漏洞链还搞出配套工具,反向shell和代理那套组合用得挺熟练,一看就是有实战打磨过的。
从攻击链看的话,网页shell + 代理 + 反向SSH隧道这套组合在维持权限和内网横向上挺实用的,特别是那个PHP代理能把流量伪装成正常服务器,防御方不太好区分。
不过有一点值得关注——他们从Babuk和LockBit源码改的勒索部分,这说明开源武器库改造已经是常规操作了,不一定非得自己从头写。ADRecon和Veeam-Get-Creds这些工具拿来做内网侦察和凭证收集也很顺手。
总体来说这个案例实战价值挺高的,漏洞链思路清晰,工具链也比较完整。不过TrueConf补丁8月底就出了,到9月中才被发现攻击,说明目标网络的补丁管理确实有滞后。
相关: 回复于 2025-06-09