Згідно з даними, опублікованими компанією Positive Technologies, проукраїнська хактивістська група під назвою PhantomCore активно здійснює кібератаки на російські мережі. Ці атаки, що тривають з вересня 2025 року, націлені на сервери, які використовують програмне забезпечення для відеоконференцій TrueConf. Зловмисники успішно експлуатують ланцюжок з трьох вразливостей для досягнення своєї мети – віддаленого виконання команд на скомпрометованих системах.
Звіт Positive Technologies деталізує, що PhantomCore використовує складний ланцюжок експлойтів, що складається з трьох окремих вразливостей у програмному забезпеченні TrueConf. Цей підхід дозволяє обійти наявні механізми захисту та отримати можливість віддаленого виконання команд (RCE) на цільових серверах. Хоча конкретні ідентифікатори вразливостей (CVE) у вихідних даних не наведені, сам факт використання багатоступеневого ланцюжка свідчить про високий рівень технічної підготовки групи та цілеспрямованість їхніх операцій. TrueConf є популярною платформою для корпоративних комунікацій, що робить її привабливою мішенню для кібератак.
Хоча поточні операції PhantomCore сфокусовані на російських мережах, інцидент підкреслює універсальну загрозу, яку становлять невідомі або невиправлені вразливості в програмному забезпеченні. Будь-яка організація, що використовує TrueConf або подібні корпоративні комунікаційні платформи, потенційно може стати мішенню, якщо в її системах присутні відомі або ще не виявлені вразливості. Це стосується не лише користувачів у Росії, а й будь-кого, хто не підтримує своє програмне забезпечення в актуальному стані, незалежно від географічного розташування. Уразливості в широко використовуваних продуктах можуть бути експлуатовані різними суб'єктами кіберпростору.
Для мінімізації ризиків кібератак, подібних до тих, що здійснює PhantomCore, фахівцям з кібербезпеки та ІТ-адміністраторам рекомендується:
- Негайно оновлювати програмне забезпечення: Завжди встановлюйте останні виправлення та оновлення безпеки для TrueConf та іншого критично важливого програмного забезпечення.
- Застосовувати принципи сегментації мережі: Ізолюйте сервери відеоконференцій та інші критичні системи від решти корпоративної мережі для обмеження потенційного поширення атаки.
- Впроваджувати системи моніторингу: Використовуйте системи виявлення вторгнень (IDS/IPS) та SIEM-системи для постійного моніторингу мережевого трафіку та журналів подій на предмет підозрілої активності.
- Проводити регулярні аудити безпеки: Регулярно виконуйте тестування на проникнення та аудити безпеки для виявлення та усунення потенційних слабких місць у вашій інфраструктурі.
- Навчати персонал: Проводьте навчання з кібергігієни для співробітників, щоб підвищити їхню обізнаність про фішингові атаки та інші вектори соціальної інженерії, які можуть бути початковою точкою компрометації.