PhantomCore 利用 TrueConf 零日漏洞进行俄罗斯网络攻击

ARTICLE TITLE: PhantomCore 利用 TrueConf 零日漏洞在俄罗斯网络攻击中

ARTICLE BODY:

执行摘要

根据 Positive Technologies 发布的报告，一个支持乌克兰的黑客活动组织 PhantomCore 自 2025 年 9 月以来一直在积极利用 TrueConf 视频会议软件中的三个漏洞链，以在俄罗斯的服务器上获得远程代码执行能力。这些威胁行为者利用漏洞链在易受攻击的 TrueConf 安装上执行任意命令，可能针对俄罗斯组织进行间谍活动和破坏性行动。Positive Technologies 没有透露这些漏洞是否已分配 CVE 标识符，或者是否有可用的补丁。

技术分析

Positive Technologies 在 2026 年 4 月 27 日发布的报告中详细说明了 PhantomCore 的攻击链结合了 TrueConf 中的三个不同缺陷，TrueConf 是一个由俄罗斯开发的广泛用于俄罗斯政府和企业实体的视频会议平台。研究人员没有提供有关漏洞的具体技术细节，例如 CVE ID 或 CVSS 评分，但确认漏洞链可以在易受攻击的服务器上启用远程命令执行。自 2025 年 9 月以来一直在进行的活动表明，对俄罗斯网络持续访问和积极利用。

PhantomCore 被描述为一个支持乌克兰的黑客活动组织，与自俄乌冲突开始以来针对俄罗斯基础设施的政治动机网络行动的模式一致。该组织对 TrueConf —— 一个俄罗斯制造的产品 —— 的操作重点表明，故意针对国内软件供应链，以在俄罗斯网络内最大化影响。

缓解措施与建议

运行 TrueConf 视频会议软件的组织应立即将受影响的服务器与互联网隔离，并仅限制对可信 IP 范围的网络访问。Positive Technologies 尚未确认 TrueConf 是否已发布补丁；防御者应联系 TrueConf 支持以获取缓解指导。在没有供应商补丁的情况下，建议进行网络分段、应用程序白名单和监控 TrueConf 服务器的异常进程执行或出站连接。使用 TrueConf 的俄罗斯以外的组织也应该评估暴露情况，因为这些漏洞可能影响所有部署。