Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Corso Ethical Hacker: accedi alla promozione fino al 30 Arile! Scopri di più
TrueConf sotto assedio PhantomCore: tre vulnerabilità critiche trasformano i server russi in porte d’ingresso invisibili
Il gruppo hacktivista filo ucraino PhantomCore è stato collegato a una campagna di attacchi informatici che prende di mira i server con TrueConf Server, popolare software di videoconferenza utilizzato in diverse organizzazioni russe. L’attività è stata osservata a partire da settembre 2025 e si basa su una catena di vulnerabilità che consente l’esecuzione di comandi da remoto e l’accesso non autorizzato alla rete interna.
Il punto chiave della campagna è lo sfruttamento combinato di tre falle di sicurezza in TrueConf Server:
- Controllo degli accessi insufficiente: permette di raggiungere endpoint amministrativi senza autenticazione.
- Lettura di file arbitrari: consente di recuperare configurazioni e dati sensibili presenti sul sistema.
- Command injection (impatto critico): abilita l’esecuzione di comandi del sistema operativo.
Insieme, queste debolezze possono permettere di aggirare i meccanismi di login, ottenere un punto di appoggio iniziale e avviare un movimento laterale all’interno dell’infrastruttura.
Le patch di sicurezza per correggere i problemi risultano disponibili da fine agosto 2025, ma gli attacchi sono stati rilevati già da metà settembre, segnale di una finestra di esposizione sfruttata rapidamente. Una volta compromesso il server di videoconferenza, gli attaccanti lo usano come trampolino per distribuire payload aggiuntivi dedicati a ricognizione, evasione delle difese e furto di credenziali. Tra le tecniche osservate compaiono anche canali di comunicazione mascherati tramite strumenti di tunneling e proxy, utili per mantenere persistenza e ridurre la visibilità.
In alcuni casi è stata installata una web shell in PHP capace di caricare file e lanciare comandi remoti, insieme a un componente proxy che fa apparire le richieste malevole come traffico legittimo. La catena include inoltre strumenti per accesso remoto, reverse shell e tunnel SSH, oltre a utility per raccogliere informazioni su Active Directory e recuperare password legate a sistemi di backup. Per il movimento laterale vengono sfruttati anche protocolli amministrativi comuni come WinRM e RDP, aumentando il rischio di propagazione rapida in ambienti enterprise.
Sono stati segnalati anche episodi in cui viene creato un utente amministratore non autorizzato sul server compromesso, rafforzando il controllo dell’attaccante. Parallelamente, PhantomCore continua a usare anche campagne di phishing con archivi compressi per ottenere accesso iniziale e distribuire backdoor in grado di eseguire comandi e scaricare ulteriori componenti.