PhantomCore Utilizza Vulnerabilità di TrueConf per Penetrare Reti Russe Un gruppo di hacktivisti pro-Ucraina, noto come PhantomCore, è stato identificato come responsabile di attacchi contro server che utilizzano il software di videoconferenza TrueConf in Russia. Questi attacchi sono iniziati a…
PhantomCore Utilizza Vulnerabilità di TrueConf per Penetrare Reti Russe
Un gruppo di hacktivisti pro-Ucraina, noto come PhantomCore, è stato identificato come responsabile di attacchi contro server che utilizzano il software di videoconferenza TrueConf in Russia. Questi attacchi sono iniziati a settembre 2025 e fanno parte di una strategia più ampia di cyber-attacchi miranti a compromettere e sfruttare le reti russe.
Le Vulnerabilità Sfruttate
Secondo un report di Positive Technologies, gli attaccanti hanno utilizzato una catena di exploit che include tre vulnerabilità significative per eseguire comandi a distanza sui server vulnerabili. Gli esperti evidenziano come, nonostante la mancanza di exploit pubblicamente accessibili, PhantomCore sia riuscito a investigare e replicare le vulnerabilità, conducendo a un numero sostanzioso di attacchi contro organizzazioni russe.
Le vulnerabilità di TrueConf Server sfruttate sono:
- BDU:2025-10114 (CVSS 7.5): consente richieste non autorizzate a determinati punti finali amministrativi.
- BDU:2025-10115 (CVSS 7.5): consente la lettura di file arbitrari sul sistema.
- BDU-2025-10116 (CVSS 9.8): vulnerabilità di iniezione di comandi che permette l’esecuzione di comandi di sistema arbitrari.
Un attacco riuscito sfruttando questi punti deboli potrebbe consentire all’attaccante di bypassare l’autenticazione e accedere alla rete dell’organizzazione. Nonostante i patch siano stati rilasciati da TrueConf il 27 agosto 2025, i primi attacchi sono stati rilevati circa tre settimane dopo.
Tecniche e Strumenti di Attacco
La compromissione dei server TrueConf ha fornito a PhantomCore un ingresso strategico per muoversi lateralmente all’interno delle reti compromesse, consentendo loro di installare payload maligni e raccogliere credenziali. Un esempio significativo è l’implementazione di un web shell basato su PHP, in grado di caricare file e eseguire comandi remoti.
L’arsenale di strumenti utilizzato nell’attacco include client maligni, come PhantomPxPigeon, che implementa un reverse shell per interagire con server remoti, insieme a vari tool per l’accesso remoto e il recupero di credenziali.
Attacchi Recenti
Negli ultimi mesi, PhantomCore e un gruppo correlato chiamato CapFIX hanno condotto campagne di phishing contro organizzazioni russe, distribuiendo backdoor in archivi ZIP o RAR. La strategia di CapFIX è incentrata sull’invio di email mascherate da comunicazioni ufficiali, attirando così l’attenzione degli utenti.
Il panorama dei gruppi di minaccia che operano contro la Russia si sta ampliando, con diverse entità che sfruttano vulnerabilità simili per accedere alle reti governative e private. Questo crea un clima di insicurezza e vulnerabilità, non solo per le aziende russe ma anche per le organizzazioni internazionali che interagiscono con esse.
Conclusione Pratica
L’attività di PhantomCore rappresenta un allerta per le aziende e gli enti governativi, inclusi quelli italiani, che dovevano considerare seriamente la postura di sicurezza informatica. Con un panorama di attacchi in continua evoluzione e gruppi come PhantomCore e CapFIX che si coordina per eseguire operazioni complesse, le organizzazioni devono rafforzare le proprie difese e assicurarsi che tutti i software utilizzati siano aggiornati e protetti da vulnerabilità note. Ignorare questo aspetto potrebbe avere conseguenze gravi e costose, non solo per le aziende interessate, ma anche per la reputazione e la fiducia nei servizi digitali offerti.
