PhantomCore zloupotrebljava TrueConf ranjivosti za upade u ruske mreže
Grupa PhantomCore, poznata i kao Fairy Trickster, povezana je sa napadima na ruske organizacije koje koriste TrueConf video konferencijski softver. Prema istraživanju Positive Technologies, napadači su od septembra 2025. koristili lanac od tri ranjivosti u TrueConf Serveru za zaobilaženje autentifikacije, čitanje fajlova i izvršavanje komandi na pogođenim serverima. Nakon kompromitacije, TrueConf server je korišćen kao ulazna tačka za lateralno kretanje, izviđanje, krađu kredencijala, tunelovanje saobraćaja i postavljanje web shell-a. TrueConf je zakrpe objavio 27. avgusta 2025, ali su napadi počeli ubrzo nakon toga na sistemima koji očigledno nisu bili ažurirani.
Video konferencijski serveri često stoje na granici između spoljnog pristupa i interne mreže, pa kompromitacija takvog sistema može brzo da postane širi mrežni incident. Posebno je opasno kada napadači preko poslovnog komunikacionog alata dođu do administratorskih naloga, backup kredencijala i internih servisa koji nisu bili zamišljeni kao direktno izložena meta.
- Ažurirati TrueConf Server na verziju koja sadrži zakrpe za ranjivosti objavljene 27. avgusta 2025. ili noviju
- Pregledati logove TrueConf servera od septembra 2025. za sumnjive pristupe administrativnim endpointima i izvršavanje komandi
- Proveriti postojanje nepoznatih naloga, posebno administratorskog naloga pod nazivom TrueConf2
- Potražiti PHP web shell fajlove, proxy skripte, reverse SSH tunele i neuobičajene RDP, WinRM ili SOCKS konekcije
- Rotirati administratorske, servisne i backup kredencijale ako je TrueConf server bio ranjiv ili izložen internetu