Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Grupa PhantomCore została powiązana z kampaniami wymierzonymi w serwery TrueConf, czyli platformy do wideokonferencji wykorzystywane w środowiskach organizacyjnych. Ataki opierają się na łańcuchu trzech podatności, które po połączeniu umożliwiają obejście uwierzytelnienia, odczyt plików oraz zdalne wykonywanie poleceń na przejętym hoście.
Sprawa pokazuje, że systemy komunikacyjne, często traktowane jako narzędzia pomocnicze, mogą stać się pełnoprawnym punktem wejścia do infrastruktury przedsiębiorstwa. Jeśli taki serwer ma łączność z zasobami wewnętrznymi, jego kompromitacja może szybko przerodzić się w incydent obejmujący całą organizację.
W skrócie
PhantomCore prowadzi aktywne ataki na podatne instancje TrueConf od września 2025 roku. W kampanii wykorzystywany jest zestaw trzech błędów bezpieczeństwa, który pozwala kolejno uzyskać dostęp do wybranych funkcji administracyjnych bez logowania, odczytywać dowolne pliki i wykonywać polecenia systemowe.
Po przełamaniu serwera napastnicy używają go jako przyczółka do ruchu bocznego, rekonesansu, kradzieży poświadczeń oraz tunelowania ruchu. W obserwowanych incydentach wdrażano także web shella w PHP, komponent proxy oraz dodatkowe narzędzia post-exploitation.
- obejście uwierzytelnienia w interfejsach administracyjnych,
- odczyt arbitralnych plików z systemu,
- command injection prowadzący do wykonania kodu,
- wdrożenie narzędzi do trwałości i ruchu bocznego,
- wykorzystanie legalnych protokołów administracyjnych do maskowania aktywności.
Kontekst / historia
PhantomCore to grupa opisywana jako aktywistyczna, ale jednocześnie nastawiona na korzyści finansowe. Jej działalność jest osadzona w realiach konfliktu rosyjsko-ukraińskiego, a wcześniejsze analizy wskazywały na łączenie działań destrukcyjnych z kradzieżą danych oraz incydentami z użyciem ransomware.
W omawianej kampanii szczególnie istotne jest skierowanie działań przeciwko oprogramowaniu komunikacyjnemu używanemu wewnątrz organizacji. Serwer wideokonferencyjny wystawiony do sieci i posiadający dostęp do zasobów firmowych może stać się atrakcyjnym punktem pivotingu. Ataki na TrueConf wpisują się w szerszy trend nadużywania niszowych lub regionalnie popularnych produktów, które nie zawsze są monitorowane równie dokładnie jak bramy VPN, serwery pocztowe czy systemy brzegowe.
Analiza techniczna
Łańcuch ataku obejmuje trzy podatności oznaczone jako BDU:2025-10114, BDU:2025-10115 oraz BDU-2025-10116. Pierwsza z nich dotyczy niewystarczającej kontroli dostępu i umożliwia wykonywanie żądań do wybranych endpointów administracyjnych bez uwierzytelnienia. Druga pozwala na odczyt arbitralnych plików z systemu. Trzecia to krytyczny błąd typu command injection, prowadzący do wykonania dowolnych poleceń systemowych.
Technicznie taki łańcuch daje napastnikowi pełną ścieżkę eskalacji: od wejścia do przejęcia hosta. Brak wymaganego logowania do funkcji administracyjnych otwiera drogę do operacji o podwyższonych uprawnieniach. Odczyt plików ułatwia pozyskanie konfiguracji, sekretów, tokenów i danych o środowisku, a command injection pozwala uruchamiać kod, pobierać kolejne komponenty i utrzymywać trwałość.
Po kompromitacji serwera operatorzy wdrażali web shella w PHP, który umożliwiał przesyłanie plików i zdalne wykonywanie komend. Dodatkowo instalowano skrypt PHP pełniący rolę serwera proxy, co pozwalało maskować złośliwy ruch jako aktywność legalnego hosta. Taka technika znacząco utrudnia detekcję, zwłaszcza jeśli organizacja nie analizuje szczegółowo ruchu wychodzącego z serwerów aplikacyjnych.
W dalszej fazie ataku wykorzystywano zarówno własne narzędzia, jak i publicznie dostępne komponenty. Wśród nich znalazł się zmodyfikowany klient TrueConf określany jako PhantomPxPigeon, implementujący reverse shell i umożliwiający wykonywanie zadań przesyłanych przez operatorów. Do utrzymania dostępu i tunelowania ruchu stosowano również komponenty takie jak PhantomSscp, MacTunnelRat oraz PhantomProxyLite, bazujące na mechanizmach odwrotnego tunelu SSH.
Do rekonesansu używano ADRecon, natomiast do pozyskiwania poświadczeń wykorzystywano między innymi zmodyfikowany skrypt Veeam-Get-Creds, DumpIt oraz MemProcFS. Ruch boczny odbywał się z użyciem standardowych mechanizmów administracyjnych, takich jak WinRM i RDP, co pomagało ukryć działania napastnika w legalnych protokołach. W części incydentów odnotowano również tworzenie nieuprawnionego konta administracyjnego „TrueConf2”, co wskazuje na próbę zapewnienia trwałego dostępu.
Osobnym elementem działalności PhantomCore jest równoległe używanie phishingu jako wektora początkowego. Na przełomie stycznia i lutego 2026 roku grupa rozsyłała archiwa ZIP i RAR zawierające backdoory zdolne do uruchamiania zdalnych poleceń oraz dostarczania kolejnych ładunków. Oznacza to, że operatorzy nie ograniczają się do jednego scenariusza wejścia, lecz elastycznie łączą eksploatację podatności z socjotechniką.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem takich incydentów jest przekształcenie pozornie pomocniczego serwera komunikacyjnego w pełnoprawny punkt wejścia do sieci organizacyjnej. Jeśli host ma zaufanie w infrastrukturze, dostęp do segmentów wewnętrznych lub integracje z usługami katalogowymi, skutki przełamania mogą szybko wyjść poza pojedynczy system.
Ryzyko obejmuje kradzież danych, przejęcie uprzywilejowanych poświadczeń, rozpoznanie topologii sieci, dalszą infekcję stacji roboczych i serwerów, a także wdrożenie narzędzi destrukcyjnych lub ransomware. Dodatkowym problemem jest tunelowanie ruchu i używanie lokalnych proxy, które osłabiają skuteczność mechanizmów wykrywania opartych wyłącznie na reputacji adresów IP lub prostych sygnaturach sieciowych.
Z perspektywy operacyjnej niebezpieczne jest również nadużywanie legalnych narzędzi administracyjnych oraz oprogramowania open source. Takie techniki utrudniają odróżnienie działań napastnika od zwykłej administracji systemem i zwiększają ryzyko długotrwałej, niezauważonej kompromitacji.
Rekomendacje
Priorytetem powinno być natychmiastowe ustalenie, czy organizacja korzysta z podatnych wersji TrueConf Server, oraz wdrożenie dostępnych poprawek bezpieczeństwa. Jeżeli aktualizacja nie jest możliwa od razu, należy ograniczyć ekspozycję usługi do zaufanych adresów, wdrożyć filtrowanie ruchu do endpointów administracyjnych i rozważyć czasową izolację serwera od sieci publicznej.
Warto przeprowadzić threat hunting pod kątem oznak kompromitacji, zwłaszcza w obszarach związanych z trwałością, nietypową aktywnością procesów oraz ruchem bocznym.
- sprawdzenie obecności nieautoryzowanych plików PHP na serwerze,
- analiza nietypowych żądań kierowanych do ścieżek administracyjnych,
- weryfikacja procesów uruchamianych przez usługę TrueConf,
- kontrola utworzenia podejrzanych kont lokalnych i administracyjnych,
- monitorowanie użycia WinRM, RDP i tuneli SSH z nietypowych hostów lub o nietypowych porach,
- poszukiwanie śladów zrzutów pamięci, rekonesansu domeny i ekstrakcji sekretów.
Dobrą praktyką pozostaje segmentacja systemów komunikacyjnych oraz ograniczenie ich łączności wyłącznie do niezbędnych usług backendowych. Serwery konferencyjne nie powinny mieć swobodnego dostępu do krytycznych segmentów, kontrolerów domeny ani repozytoriów kopii zapasowych. Warto również wdrożyć EDR lub podobne mechanizmy telemetryczne na hostach obsługujących tego typu aplikacje.
W obszarze zarządzania tożsamością należy wymusić rotację poświadczeń, które mogły znajdować się na przejętym hoście, zwłaszcza dla kont serwisowych, administracyjnych i integracyjnych. Jeśli serwer miał styczność z systemami backupu lub usługami domenowymi, zakres resetu poświadczeń powinien objąć także te obszary. Równolegle należy przeanalizować logi pod kątem połączeń do zewnętrznych adresów, dostępu do plików konfiguracyjnych i transferów wskazujących na możliwą eksfiltrację danych.
Podsumowanie
Kampania PhantomCore pokazuje, że nawet wyspecjalizowane platformy komunikacyjne mogą stać się skutecznym wektorem wejścia do środowiska organizacyjnego. Połączenie błędów kontroli dostępu, odczytu plików i command injection umożliwia szybkie przejście od ekspozycji usługi do pełnej kompromitacji hosta oraz dalszego ruchu bocznego.
Dla zespołów bezpieczeństwa to wyraźny sygnał, że serwery komunikacyjne powinny być traktowane jak systemy wysokiego ryzyka: regularnie aktualizowane, segmentowane, monitorowane i objęte procedurami threat huntingu. Bagatelizowanie takich usług jako narzędzi pomocniczych może prowadzić do poważnych naruszeń bezpieczeństwa całej organizacji.
Źródła
- The Hacker News — https://thehackernews.com/2026/04/phantomcore-exploits-trueconf.html
- Positive Technologies — PhantomCore — https://global.ptsecurity.com/en/research/threatscape/phantomcore/
- Positive Technologies — BDU:2025-10114 — https://ptsecurity.com/en-US/research/advisories/bdu-2025-10114/
- Positive Technologies — BDU:2025-10115 — https://ptsecurity.com/en-US/research/advisories/bdu-2025-10115/
- Positive Technologies — BDU-2025-10116 — https://ptsecurity.com/en-US/research/advisories/bdu-2025-10116/