文章总结： 本文拆解了PhantomCore组织针对TrueConf服务器的攻击链。攻击者组合利用未授权访问、文件读取与命令注入三个漏洞实现无凭证RCE，随后以魔改官方客户端作后门，结合隧道代理与内存抓取工具完成内网横向移动。建议企业排查公网暴露的边界设备并打补丁，严格限制访问白名单以防范突破。 综合评分： 88 文章分类： 漏洞分析,威胁情报,内网渗透,红队,免杀

CVSS 9.8！这波无需授权的 RCE 组合拳，是如何拿下 TrueConf 服务器的？

原创

Hankzheng Hankzheng

技术修道场

2026年4月29日 08:03 广东

在小说阅读器读本章

去阅读

哈喽大家好。最近在看安全情报的时候，Positive Technologies 发布的一份关于 PhantomCore（也被称为 Fairy Trickster）APT 组织的报告引起了我的注意。这个主要针对俄罗斯境内目标、带有政治和经济双重动机的黑客团伙，最近可谓是疯狂上分。

最让我觉得技术含量拉满的是他们针对 TrueConf 视频会议服务器 打出的一套极其漂亮的漏洞利用组合拳（Exploit Chain）。

要知道，这套漏洞链在公开渠道根本找不到现成的 EXP。换句话说，这帮人是硬生生通过自己做漏洞研究和逆向工程，徒手搓出了武器化的利用工具，然后悄无声息地撕开了大量俄企的内网防线。

今天，咱们就来硬核扒一扒，PhantomCore 这波攻击到底是怎么玩的，他们的技术路径有哪些值得我们做攻防研究的师傅们学习和防范的地方。

💥 核心突破口：高危漏洞的三连击

视频会议系统一直是企业内网的“咽喉要道”，拿下它往往就等于拿到了内网漫游的门票。PhantomCore 这次盯上的是 TrueConf Server 的三个漏洞。

大家先来看看这个豪华的“漏洞大礼包”：

• BDU:2025-10114 (CVSS 7.5)：未授权访问/越权漏洞。

  攻击者无需任何身份验证，就能直接向特定的管理接口（/admin/*）发送请求。这是撕开防线的第一道口子。

• BDU:2025-10115 (CVSS 7.5)：任意文件读取。

  结合上一步的管理权限，攻击者可以直接读取系统上的任意敏感文件（比如配置文件、密钥等）。

• BDU-2025-10116 (CVSS 9.8)：命令注入漏洞。

  终极大杀器，允许攻击者直接在底层操作系统上执行任意命令（RCE）。

技术复盘：这种“未授权访问 + 信息泄露 + RCE”的经典三段式攻击路径，在实战中极其致命。攻击者先利用 10114 绕过登录鉴权，随后通过 10115 摸清服务器底细并获取必要的凭据或配置参数，最后将这些参数构造成恶意 payload，通过 10116 接口触发命令注入。一气呵成，直接拿到服务器的最高控制权，全程不需要任何合法的账号密码。

🕷️ 站稳脚跟与内网漫游：PhantomCore 的“百宝箱”

很多脚本小子拿到 RCE 传个 WebShell 就结束了，但高玩的操作往往在拿下权限后才刚刚开始。PhantomCore 展现出了极强的隐蔽性（Stealth）和工程化能力。

在成功入侵 TrueConf Server 后，他们并没有急于横向，而是先做了一套极其完善的“基建”：

1. 流量伪装与控制通道

他们不仅植入了常规的 PHP WebShell（用于上传文件和远程执行），还专门写了一个 PHP 代理脚本。这个脚本的作用是将恶意控制指令伪装成正常的业务请求，完美绕过了一些基础的流量审计设备。

2. 核心后门：魔改官方客户端

这招非常骚！他们没有使用市面上常见的木马，而是直接魔改了 TrueConf 的视频会议客户端，植入了一个反向 Shell。这个魔改版不仅能连回 C2 服务器接收执行命令、拉起可执行文件，还能通过前面提到的 PHP WebShell 进行流量代理。用官方程序的壳子干黑客的活儿，杀软看了都得愣两秒。

3. 隧道与横向移动矩阵

为了在内网长久潜伏，他们建立了一个多层次的隧道网络：

• 反向 SSH 隧道组：

  包含自主研发的 PhantomSscp (DLL)、基于 PowerShell 的 MacTunnelRat 和 PhantomProxyLite，死死钉住控制权。

• SOCKS 代理：

  熟练运用 microsocks、rsocx 和 tsocks，把受控机器当跳板，直接把攻击者的基础设施桥接到企业内网。

• 横向与搜集：

  用 ADRecon 探查域环境，用修改版的 Veeam-Get-Creds 脚本薅备份软件的密码。抓取内存凭据更是用上了底层的 MemProcFS 和老牌工具 DumpIt。至于横向过去，直接就地取材，用系统自带的 WinRM 和 RDP，主打一个“白加黑”。

4. 影子管理员提权

在部分入侵案例中，他们还使用了一个恶意的 DLL，在服务器上悄悄创建了一个名为 “TrueConf2” 的影子管理员账号。即便原始后门被清，他们依然有合法的系统级后门可以随时登录。

🌐 延伸：俄罗斯网络威胁的“群魔乱舞”

除了 PhantomCore，最近这几个月俄语区的安全局势简直是神仙打架，各种新手法层出不穷。借此机会也给大家同步几个值得关注的威胁动向：

• CapFIX 的“点击修复”战术：

  这个组织（使用 CapDoor 后门）现在不怎么发加密货币钓鱼邮件了，而是开始伪造政府机构的官方公文。他们极度依赖 ClickFix 社会工程学战术，诱导受害者主动运行恶意代码来部署 AsyncRAT 等木马。

• Mythic Likho 的定制化：

  它们在使用 Havoc 后渗透框架的魔改版（Loki 后门），并且使用了另一组织 ExCobalt 的专属 Rootkit（Megatsune），说明 APT 组织之间的工具共享或人员交叉越来越频繁。

• “狼人”家族的奇招 ：

• Paper Werewolf

  在 Telegram 上建频道，打着“把 Starlink 设备加入白名单工具”的幌子投毒（EchoGather 木马），甚至还搞了个假无人机模拟器网站。

• Versatile Werewolf

  更是走在时代前沿，已经开始利用生成式 AI (GenAI) 来编写和加速开发他们的攻击工具（部署 Sliver 框架和 SoullessRAT）。

• Eagle Werewolf

  则用 Rust 语言写了 Dropper，伪装成星链激活清单。

尽管这几个“狼人”名字相似、目标一致且手法雷同，但安全公司 BI.ZONE 确认它们目前是独立运营的，并未发现协同攻击的证据。

💡 结语

从 PhantomCore 这次的一套连招可以看出，现在的 APT 攻击已经越来越倾向于挖掘本土化/特定行业软件的 0day/1day 漏洞。一旦被他们拿到未授权 RCE，加上高度定制化的免杀工具和极其谨慎的潜伏策略，防守方的压力是呈指数级上升的。

各位运维和安全的师傅们，赶紧查查自家有没有暴露在公网的管理后台，特别是视频会议、VPN、OA 等边界设备，该打补丁打补丁，该限制白名单限制白名单。千万别让你的服务器，成了别人内网漫游的“第一站”。

如果你觉得今天的技术拆解对你有帮助，别忘了点个“在看”和“赞”，我们下期硬核干货见！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：技术修道场 Hankzheng Hankzheng《CVSS 9.8！这波无需授权的 RCE 组合拳，是如何拿下 TrueConf 服务器的？》