關(guān)鍵詞

漏洞

自 2025 年 9 月起，一個(gè)名為 “幻影核心”（PhantomCore）的親烏克蘭黑客行動(dòng)主義組織，被指積極攻擊俄羅斯境內(nèi)運(yùn)行 TrueConf 視頻會(huì)議軟件的服務(wù)器。

這一消息源自 Positive Technologies 發(fā)布的一份報(bào)告，該報(bào)告發(fā)現(xiàn)，威脅行為者利用由三個(gè)漏洞組成的漏洞鏈，在易受攻擊的服務(wù)器上遠(yuǎn)程執(zhí)行命令。

研究人員丹尼爾?格里戈里揚(yáng)（Daniil Grigoryan）和格奧爾基?坎多日科（Georgy Khandozhko）表示：“盡管這條漏洞鏈沒(méi)有公開(kāi)可用的漏洞利用程序，但‘幻影核心’的攻擊者設(shè)法展開(kāi)研究并復(fù)現(xiàn)了這些漏洞，這導(dǎo)致俄羅斯眾多組織遭受攻擊。”

“幻影核心” 也被稱為 “仙女騙子”（Fairy Trickster）、“母馬頭領(lǐng)”（Head Mare）、“彩虹鬣狗”（Rainbow Hyena）和 UNG0901，它是一個(gè)出于政治和經(jīng)濟(jì)動(dòng)機(jī)的黑客組織，自 2022 年俄烏戰(zhàn)爭(zhēng)爆發(fā)后開(kāi)始活躍。該組織發(fā)動(dòng)的攻擊以竊取敏感數(shù)據(jù)和破壞目標(biāo)網(wǎng)絡(luò)為特點(diǎn)，在某些情況下，甚至?xí)?Babuk 和 LockBit 泄露的源代碼部署勒索軟件。

Positive Technologies 早在 2025 年 9 月就指出：“該組織開(kāi)展大規(guī)模行動(dòng)的同時(shí)，通過(guò)不斷更新和改進(jìn)內(nèi)部攻擊工具，保持高度隱蔽性，能長(zhǎng)時(shí)間在受害者網(wǎng)絡(luò)中不被察覺(jué)�！�

此次攻擊中被利用的 TrueConf 服務(wù)器漏洞如下：

• BDU:2025 - 10114（CVSS 評(píng)分：7.5）—— 這是一個(gè)訪問(wèn)控制不足漏洞，攻擊者可借此在未經(jīng)身份驗(yàn)證的情況下，向某些管理端點(diǎn)（/admin/*）發(fā)出請(qǐng)求。

• BDU:2025 - 10115（CVSS 評(píng)分：7.5）—— 此漏洞使攻擊者能夠讀取系統(tǒng)上的任意文件。

• BDU - 2025 - 10116（CVSS 評(píng)分：9.8）—— 這是一個(gè)命令注入漏洞，攻擊者可利用它執(zhí)行任意操作系統(tǒng)命令。

成功利用這三個(gè)漏洞，攻擊者就能繞過(guò)身份驗(yàn)證并訪問(wèn)組織網(wǎng)絡(luò)。據(jù) Positive Technologies 稱，盡管 TrueConf 在 2025 年 8 月 27 日發(fā)布了針對(duì)這些問(wèn)題的安全補(bǔ)丁，但針對(duì) TrueConf 服務(wù)器的首次攻擊在 2025 年 9 月中旬左右就被檢測(cè)到。

在俄羅斯這家安全供應(yīng)商觀察到的攻擊中，TrueConf 服務(wù)器被攻陷后，威脅行為者將其作為跳板，在內(nèi)部網(wǎng)絡(luò)中橫向移動(dòng)，并投放惡意有效載荷，以進(jìn)行偵察、躲避防御、獲取憑證，還利用隧道工具建立通信通道。

據(jù)說(shuō)至少有一次成功的入侵導(dǎo)致部署了一個(gè)基于 PHP 的 Web shell，它能夠向受感染主機(jī)上傳文件并執(zhí)行遠(yuǎn)程命令，同時(shí)還有一個(gè) PHP 文件充當(dāng)代理服務(wù)器，將惡意請(qǐng)求偽裝成來(lái)自合法服務(wù)器。

作為攻擊一部分所投放的其他一些工具如下：

• “幻影 PxPigeon”，這是一個(gè)惡意的 TrueConf 視頻會(huì)議客戶端，它實(shí)現(xiàn)了反向 shell 功能，可連接到遠(yuǎn)程服務(wù)器并接收后續(xù)執(zhí)行的任務(wù)，能夠運(yùn)行命令、啟動(dòng)可執(zhí)行文件，并允許流量通過(guò)上述 Web shell 進(jìn)行代理。

• “幻影 Sscp”（DLL）、“MacTunnelRat”（PowerShell）、“幻影 ProxyLite”（PowerShell），用于通過(guò)反向 SSH 隧道在被入侵環(huán)境中建立據(jù)點(diǎn)。

• “ADRecon”，用于偵察。

• “Veeam - Get - Creds”，這是一個(gè)經(jīng)過(guò)修改的 PowerShell 腳本版本，用于恢復(fù)與 Veeam 備份與復(fù)制軟件相關(guān)的密碼。

• “DumpIt” 和 “MemProcFS”，用于獲取憑證。

• Windows 遠(yuǎn)程管理（WinRM）和遠(yuǎn)程桌面協(xié)議（RDP），用于在網(wǎng)絡(luò)范圍內(nèi)橫向移動(dòng)。

• “Velociraptor”，用于遠(yuǎn)程訪問(wèn)。

• “microsocks”、“rsocx” 和 “tsocks”，用于通過(guò) SOCKS 代理從攻擊者控制的基礎(chǔ)設(shè)施控制被攻陷的主機(jī)。

部分入侵利用一個(gè) DLL 在被攻陷的視頻會(huì)議服務(wù)器上創(chuàng)建了一個(gè)名為 “TrueConf2” 的具有管理權(quán)限的惡意用戶。

直至 2026 年 1 月和 2 月，“幻影核心” 的攻擊鏈還被發(fā)現(xiàn)利用網(wǎng)絡(luò)釣魚(yú)誘餌來(lái)初步滲透俄羅斯組織，通過(guò)精心制作的 ZIP 或 RAR 壓縮包分發(fā)一種后門程序，該后門可在主機(jī)上運(yùn)行遠(yuǎn)程命令并提供任意有效載荷。

研究人員總結(jié)道：“‘幻影核心’ 是俄羅斯威脅格局中最活躍的組織之一。其武器庫(kù)既包括公開(kāi)可用的工具（如 Velociraptor、Memprocfs、Dokan、DumpIt），也有專有工具（如 MacTunnelRAT、幻影 Sscp、幻影 ProxyLite）。該組織的目標(biāo)涵蓋政府及眾多行業(yè)的私營(yíng)組織�！糜昂诵摹� 積極尋找國(guó)產(chǎn)軟件中的漏洞，開(kāi)發(fā)漏洞利用程序，從而具備滲透大量俄羅斯公司的能力�！�

近幾個(gè)月來(lái)，俄羅斯的工業(yè)和航空領(lǐng)域成為一個(gè)名為 CapFIX 的經(jīng)濟(jì)動(dòng)機(jī)組織策劃的網(wǎng)絡(luò)釣魚(yú)活動(dòng)的目標(biāo)，該組織部署了一種名為 CapDoor 的后門程序，它可以運(yùn)行從遠(yuǎn)程服務(wù)器獲取的 PowerShell 命令、DLL 和可執(zhí)行文件，安裝 MSI 文件，并進(jìn)行截圖�！癈apFIX” 這一名稱源于 CapDoor 在 2025 年首次被發(fā)現(xiàn)，當(dāng)時(shí)是通過(guò) “ClickFix” 社會(huì)工程策略進(jìn)行分發(fā)。

對(duì)該威脅行為者在 2025 年 10 月和 11 月活動(dòng)的深入分析發(fā)現(xiàn)，其利用 ClickFix 部署了如 AsyncRAT 和 SectopRAT 等現(xiàn)成的惡意軟件家族。

Positive Technologies 表示：“雖然該組織此前依賴以金融為主題的網(wǎng)絡(luò)釣魚(yú)電子郵件（加密貨幣及任何與金錢相關(guān)的內(nèi)容），但他們現(xiàn)在越來(lái)越多地將電子郵件偽裝成政府機(jī)構(gòu)的官方通信�！�

“幻影核心” 和 CapFIX 屬于越來(lái)越多針對(duì)俄羅斯實(shí)體發(fā)動(dòng)攻擊的威脅活動(dòng)集群。其他一些知名組織包括：

• “Geo Likho”，自 2024 年 7 月起主要針對(duì)俄羅斯和白俄羅斯的航空和航運(yùn)部門，通過(guò)網(wǎng)絡(luò)釣魚(yú)攻擊投放信息竊取惡意軟件。在德國(guó)、塞爾維亞和香港也檢測(cè)到個(gè)別感染案例，疑似為意外情況。

• “Mythic Likho”，通過(guò)電子郵件中的網(wǎng)絡(luò)釣魚(yú)誘餌投放 HuLoader、Merlin（一種 Mythic 代理）或 ReflectPulse 等加載程序，這些加載程序旨在解包最終有效載荷 —— 一個(gè)名為 Loki 的后門程序，它是與 Havoc 后滲透框架兼容的 Mythic 版本代理。有證據(jù)表明，該組織與另一個(gè)名為 ExCobalt 的組織有關(guān)聯(lián)，因?yàn)槠涫褂昧撕笳叩膶Ｓ?rootkit “Megatsune”。

• “Paper Werewolf”（又名 GOFFEE），利用一個(gè)專門的 Telegram 頻道，以將 Starlink 設(shè)備添加到例外列表的工具為幌子，分發(fā)一個(gè)名為 EchoGather 的木馬程序，此外還分享指向網(wǎng)絡(luò)釣魚(yú)頁(yè)面的鏈接，旨在獲取受害者的 Telegram 賬戶憑證。還觀察到該組織利用一個(gè)虛假網(wǎng)站宣傳無(wú)人機(jī)飛行模擬器來(lái)投放 EchoGather。

• “Versatile Werewolf”（又名 HeartlessSoul），利用一個(gè)虛假網(wǎng)站（“stardebug [.] app”）分發(fā) Star Debug 的虛假 MSI 安裝程序，Star Debug 是一款管理 Starlink 設(shè)備的替代工具，借此部署 Sliver 后滲透框架。與該威脅行為者相關(guān)的另一個(gè)網(wǎng)站（“alphafly - drones [.] com”）利用惡意無(wú)人機(jī)模擬器應(yīng)用程序，可能投放了 SoullessRAT，這是一個(gè) Windows 木馬程序，能夠運(yùn)行命令、上傳文件、截圖并執(zhí)行二進(jìn)制文件。

• “Eagle Werewolf”，這是一個(gè)此前未被記錄的威脅組織，它入侵了以無(wú)人機(jī)為主題的 Telegram 頻道，通過(guò)一個(gè)偽裝成 Starlink 設(shè)備激活檢查表的 Rust 下載器分發(fā) AquilaRAT。AquilaRAT 是一個(gè)基于 Rust 的木馬程序，能夠執(zhí)行文件操作和運(yùn)行命令。

俄羅斯網(wǎng)絡(luò)安全公司 BI.ZONE 表示：“盡管這些集群有著共同目標(biāo)并采用類似技術(shù)，但它們是自主運(yùn)作的，沒(méi)有直接協(xié)調(diào)的證據(jù)。除了分發(fā)惡意軟件，‘Paper Werewolf’ 還劫持 Telegram 賬戶，該集群可能將其用作支持未來(lái)攻擊的可信渠道�！甐ersatile Werewolf’ 利用生成式人工智能開(kāi)發(fā)攻擊中使用的工具，加快開(kāi)發(fā)進(jìn)程。”

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！