PhantomCore explora falhas no TrueConf Server contra redes russas

Grupo usa cadeia com três vulnerabilidades no TrueConf Server para contornar autenticação, executar comandos remotos e apoiar movimentação lateral em ambientes comprometidos.

Componente	TrueConf Server, software de videoconferência usado como ponto de entrada em servidores de organizações russas.
Vetor	Exploração encadeada de `BDU:2025-10114`, `BDU:2025-10115` e `BDU-2025-10116`, combinando acesso indevido a rotas administrativas, leitura arbitrária de arquivos e injeção de comandos.
Impacto	Execução remota de comandos em servidores suscetíveis, implantação de web shell PHP, criação de usuário administrativo fraudulento e uso do host como apoio para reconhecimento, evasão, coleta de credenciais e movimentação lateral.
Prioridade	Aplicar as correções liberadas em 27 de agosto de 2025, investigar servidores TrueConf expostos e revisar sinais de web shell, túneis reversos, contas administrativas inesperadas, uso de WinRM e sessões RDP.
Artefatos	Foram citados `PhantomPxPigeon`, `PhantomSscp`, `MacTunnelRat`, `PhantomProxyLite`, `Veeam-Get-Creds`, `microsocks`, `rsocx` e `tsocks`.
Ator	PhantomCore, também rastreado como Fairy Trickster, Head Mare, Rainbow Hyena e `UNG0901`, ativo desde 2022 no contexto da guerra entre Rússia e Ucrânia.

Resumo técnico

PhantomCore foi associado a operações ativas contra servidores que executam o TrueConf Server em organizações russas desde setembro de 2025. A atividade se apoia em uma cadeia de três vulnerabilidades que, quando exploradas em conjunto, permite contornar autenticação, acessar funcionalidades administrativas e chegar à execução remota de comandos no sistema operacional. O ponto crítico não é apenas a presença de uma falha isolada, mas a combinação entre controle de acesso insuficiente, leitura arbitrária de arquivos e injeção de comandos, criando um caminho técnico viável para transformar um serviço de videoconferência em pivô inicial dentro da rede interna.

As vulnerabilidades citadas são BDU:2025-10114, com pontuação CVSS 7.5, descrita como falha de controle de acesso insuficiente que permite requisições a endpoints administrativos em /admin/* sem autenticação; BDU:2025-10115, também com CVSS 7.5, que permite leitura arbitrária de arquivos; e BDU-2025-10116, com CVSS 9.8, descrita como injeção de comandos capaz de executar comandos arbitrários do sistema operacional. As correções foram disponibilizadas pela TrueConf em 27 de agosto de 2025, mas os primeiros ataques direcionados a servidores TrueConf foram observados em meados de setembro de 2025, indicando uma janela operacional curta entre a publicação das correções e o início da exploração em campo.

O grupo PhantomCore é descrito como politicamente e financeiramente motivado, ativo desde 2022, e também conhecido pelos nomes Fairy Trickster, Head Mare, Rainbow Hyena e UNG0901. Em operações anteriores, o grupo foi associado a roubo de dados sensíveis, disrupção de redes e, em alguns casos, uso de ransomware baseado em código-fonte vazado do Babuk e do LockBit. No caso dos servidores TrueConf, o contexto técnico confirmado aponta para uso do servidor comprometido como plataforma de expansão interna, com implantação de cargas maliciosas, criação de canais de comunicação por túneis, reconhecimento, evasão defensiva e coleta de credenciais.

Fluxo técnico

A cadeia começa pela exploração do TrueConf Server vulnerável. BDU:2025-10114 reduz a barreira de autenticação ao permitir acesso a determinados endpoints administrativos sob /admin/* sem credenciais válidas. Essa condição aumenta o alcance do atacante sobre a aplicação e prepara o caminho para etapas posteriores, especialmente quando o serviço está exposto ou acessível a partir de redes que não deveriam interagir com funções administrativas. A segunda etapa, BDU:2025-10115, permite leitura arbitrária de arquivos, o que pode revelar artefatos locais relevantes para aprofundar a exploração, entender a configuração do servidor ou apoiar o encadeamento com a falha seguinte. A etapa de maior impacto, BDU-2025-10116, entrega injeção de comandos e permite execução arbitrária no sistema operacional do host que executa o TrueConf Server.

Após a execução remota, a operação observada deixa de ser apenas exploração de aplicação e passa a se comportar como intrusão pós-comprometimento. O servidor de videoconferência é usado como trampolim para a rede interna. Em pelo menos um comprometimento bem-sucedido, foi implantado um web shell em PHP capaz de carregar arquivos para o host infectado e executar comandos remotos. Também foi observado um arquivo PHP atuando como servidor proxy, com a função de mascarar requisições maliciosas como se partissem de um servidor legítimo. Esse tipo de proxy é relevante para defesa porque desloca a aparência do tráfego: em vez de conexões diretas óbvias entre infraestrutura externa e ativos internos, a comunicação passa por um sistema que já tem presença legítima no ambiente.

A cadeia de ferramentas atribuída à operação inclui um cliente malicioso de videoconferência TrueConf chamado PhantomPxPigeon, que implementa reverse shell para se conectar a um servidor remoto e receber tarefas. As capacidades citadas incluem execução de comandos, inicialização de executáveis e proxy de tráfego por meio do web shell. Também foram citados PhantomSscp, uma DLL, MacTunnelRat, em PowerShell, e PhantomProxyLite, também em PowerShell, usados para estabelecer presença por túnel SSH reverso. Em intrusões selecionadas, uma DLL criou um usuário fraudulento chamado TrueConf2 com privilégios administrativos no servidor comprometido, um sinal de persistência e escalada operacional que deve ser tratado como evidência de controle ativo do host.

A movimentação lateral aparece apoiada por protocolos administrativos do Windows, especificamente Windows Remote Management, WinRM, e Remote Desktop Protocol, RDP. A presença de Veeam-Get-Creds, uma versão modificada de script PowerShell para recuperar senhas relacionadas ao Veeam Backup & Replication, indica interesse em credenciais armazenadas ou recuperáveis em infraestrutura de backup. Ferramentas como microsocks, rsocx e tsocks foram usadas para controlar hosts comprometidos a partir de infraestrutura controlada pelo atacante por meio de proxy SOCKS. O resultado operacional é uma cadeia em que o TrueConf Server deixa de ser somente aplicação afetada e passa a sustentar acesso interativo, encaminhamento de tráfego, execução remota e avanço dentro do perímetro.

Superfície afetada

A superfície diretamente afetada é composta por servidores TrueConf Server que não receberam as correções liberadas em 27 de agosto de 2025 e que permanecem acessíveis em condições compatíveis com a cadeia de exploração. O risco técnico aumenta quando o serviço expõe rotas administrativas, quando o host tem conectividade ampla para redes internas e quando a conta de serviço ou o sistema operacional hospedeiro possui permissões que facilitam execução de comandos, gravação de arquivos e comunicação de saída. O contexto não delimita versões específicas além das vulnerabilidades BDU citadas, portanto a triagem deve partir da presença do produto, do estado de atualização e de sinais de exploração, sem presumir ramos ou versões não informados.

A intrusão não se limita ao processo da aplicação. A partir do host comprometido, a operação passa a tocar identidade local, administração Windows, tráfego de rede, ferramentas de túnel e possíveis segredos associados a backup. A criação do usuário TrueConf2 com privilégios administrativos é um indicador de alteração do plano de identidade local. O uso de WinRM e RDP amplia a superfície para sistemas internos acessíveis a partir do servidor de videoconferência. A presença de ferramentas de proxy e túnel, incluindo reverse SSH tunnel e SOCKS proxy, transforma o servidor em nó de roteamento clandestino para outras ações.

Embora o contexto mencione outras campanhas contra organizações russas, como atividades de CapFIX, Geo Likho, Mythic Likho, Paper Werewolf, Versatile Werewolf e Eagle Werewolf, a cadeia TrueConf descrita deve ser analisada separadamente. CapFIX foi associado a phishing com ClickFix e ao backdoor CapDoor, capaz de executar comandos PowerShell, DLLs e executáveis obtidos de servidor remoto, instalar arquivos MSI e capturar telas. Outros clusters citados usam phishing, Telegram, instaladores MSI falsos, droppers Rust, Sliver, EchoGather, SoullessRAT e AquilaRAT. Essa sobreposição de técnicas não confirma coordenação direta entre grupos, mas mostra que organizações no mesmo recorte geográfico enfrentam múltiplos caminhos de acesso inicial e pós-exploração.

Servidores TrueConf Server sem as correções de 27 de agosto de 2025 devem ser priorizados na verificação.
Endpoints administrativos sob /admin/* são relevantes para triagem de exploração de BDU:2025-10114.
Hosts com usuários administrativos inesperados, especialmente TrueConf2, exigem investigação imediata.
Ambientes com Veeam Backup & Replication devem revisar sinais de uso de Veeam-Get-Creds em PowerShell.

Hunting e telemetria

A investigação deve começar pelo servidor TrueConf, combinando logs da aplicação, logs do servidor web ou proxy reverso, eventos do sistema operacional, histórico de processos e conexões de rede. Em logs HTTP, procure requisições incomuns a caminhos administrativos, principalmente sob /admin/*, vindas de origens que não correspondem a administradores ou integrações conhecidas. Como a cadeia envolve leitura arbitrária de arquivos e injeção de comandos, também é necessário correlacionar acessos a arquivos sensíveis, criação ou alteração de arquivos PHP, escrita em diretórios servidos pela aplicação e execução de processos filhos anômalos a partir do contexto do serviço TrueConf.

No endpoint, a presença de web shell PHP deve ser tratada como prioridade. Arquivos PHP recentemente criados ou modificados em diretórios da aplicação, scripts com funcionalidades de upload, execução de comandos e proxy, além de processos de shell iniciados por componentes web, são sinais fortes. O hunting também deve cobrir execução de PowerShell associada a MacTunnelRat, PhantomProxyLite ou Veeam-Get-Creds, carregamento de DLLs não reconhecidas, criação do usuário TrueConf2, alterações em grupos administrativos locais e novas regras de firewall ou serviços persistentes. Como parte das intrusões usa reverse shell e túneis, conexões de saída persistentes ou de longa duração a destinos incomuns devem ser revisadas.

Na rede, a telemetria deve buscar padrões compatíveis com proxy SOCKS, túneis reversos e uso administrativo interno a partir do servidor TrueConf. Tráfego relacionado a WinRM e RDP originado do servidor de videoconferência para outros ativos internos é especialmente sensível, pois esse host normalmente não deveria atuar como estáção administrativa. A presença de ferramentas como microsocks, rsocx e tsocks pode aparecer como binários, processos, parâmetros de linha de comando, conexões para infraestrutura externa e portas locais em escuta. A análise deve preservar evidências de processo, rede e arquivos antes de remover artefatos, porque a sequência temporal ajuda a distinguir exploração inicial, instalação de persistência e movimentação lateral.

Requisições incomuns para /admin/* sem relação com administradores conhecidos.
Arquivos PHP novos ou alterados com upload, proxy ou execução de comandos.
Processos PowerShell associados a túneis, coleta de credenciais ou execução remota.
Criação do usuário local TrueConf2 ou inclusão inesperada em grupos administrativos.
Uso de WinRM ou RDP partindo do servidor TrueConf para outros sistemas internos.
Execução ou presença de PhantomPxPigeon, PhantomSscp, MacTunnelRat, PhantomProxyLite, microsocks, rsocx ou tsocks.

Mitigação

A primeira ação é confirmar se todos os servidores TrueConf Server receberam as correções disponibilizadas em 27 de agosto de 2025. A atualização deve ser acompanhada por validação de exposição, porque aplicar patch em um host já comprometido não remove web shells, usuários fraudulentos, túneis, ferramentas implantadas ou credenciais coletadas. Servidores acessíveis pela internet, por segmentos semi-confiáveis ou por redes de parceiros devem passar por inventário e revisão de configuração. Rotas administrativas devem ser restringidas ao mínimo necessário, com controle de origem, autenticação forte e monitoramento de acesso. Quando possível, o servidor de videoconferência não deve possuir conectividade administrativa ampla para estáções, controladores, servidores de backup ou ativos críticos.

Para resposta a incidente, isole servidores com indícios de exploração antes de iniciar remoção de artefatos. Preserve cópias forenses de arquivos suspeitos, logs da aplicação, eventos Windows, histórico de PowerShell, listas de usuários locais, grupos, tarefas agendadas, serviços e conexões de rede. Remova web shells e proxies PHP somente depois de registrar caminhos, hashes internos e horários de criação. Revogue ou redefina credenciais que possam ter sido acessadas a partir do servidor, com atenção especial a contas administrativas e credenciais relacionadas ao Veeam Backup & Replication quando houver evidência de Veeam-Get-Creds. A conta TrueConf2, se presente e não autorizada, deve ser tratada como indicador de comprometimento, não como erro administrativo isolado.

A contenção deve incluir bloqueio de canais de túnel e proxy, revisão de regras de firewall, inspeção de conexões de saída e caça por uso de WinRM e RDP iniciado a partir do servidor. Em paralelo, revise outros caminhos de acesso inicial citados no cenário, especialmente phishing com arquivos ZIP ou RAR usados para distribuir backdoor capaz de executar comandos remotos e servir cargas arbitrárias. Essa verificação é importante porque a mesma organização pode ter sido tocada por exploração de TrueConf e por campanhas de phishing em momentos distintos. A validação final deve confirmar ausência de processos persistentes, ausência de contas administrativas não autorizadas, inexistência de novos web shells, atualização aplicada e segmentação adequada entre o serviço de videoconferência e sistemas internos sensíveis.

Aplicar as correções do TrueConf Server de 27 de agosto de 2025 em todos os servidores afetados.
Restringir acesso a /admin/* e revisar exposição de rotas administrativas.
Investigar e remover web shells PHP, proxies, túneis reversos e ferramentas SOCKS após preservação de evidências.
Auditar usuários locais e grupos administrativos, incluindo busca por TrueConf2.
Revisar credenciais administrativas e credenciais associadas ao Veeam Backup & Replication quando houver sinal de coleta.
Monitorar e bloquear uso indevido de WinRM, RDP, PowerShell e conexões persistentes de saída a partir do servidor TrueConf.

PhantomCore explora falhas no TrueConf Server contra redes russas

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

PhantomCore explora falhas no TrueConf Server contra redes russas

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato