กลุ่มแฮกเกอร์โปรยูเครน PhantomCore ถูกพบว่าโจมตีเซิร์ฟเวอร์ซอฟต์แวร์ประชุมทางไกล TrueConf ในรัสเซียตั้งแต่กันยายน 2025 โดยใช้ช่องโหว่ 3 รายการร่วมกันเพื่อรันคำสั่งจากระยะไกล ช่องโหว่เหล่านี้รวมถึงการควบคุมการเข้าถึงไม่เพียงพอ (BDU:2025-10114, CVSS 7.5), การอ่านไฟล์ตามอำเภอใจ (BDU:2025-10115, CVSS 7.5) และการฉีดคำสั่ง (BDU:2025-10116, CVSS 9.8) ซึ่งทำให้ผู้โจมตีข้ามการยืนยันตัวตนและเข้าถึงเครือข่ายองค์กรได้

PhantomCore หรือที่รู้จักในชื่อ Fairy Trickster, Head Mare, Rainbow Hyena และ UNG0901 เป็นกลุ่มที่เคลื่อนไหวตั้งแต่ปี 2022 โดยมีแรงจูงใจทั้งทางการเมืองและการเงิน มักขโมยข้อมูลสำคัญและขัดขวางเครือข่ายเป้าหมาย บางครั้งใช้ ransomware จากซอร์สโค้ดที่รั่วไหลของ Babuk และ LockBit หลังจากการโจมตี พวกเขาใช้เซิร์ฟเวอร์ TrueConf ที่ถูกบุกรุกเป็นฐานในการเคลื่อนที่ในเครือข่ายภายใน วางเพย์โหลดที่เป็นอันตรายเพื่อการสอดแนม หลบเลี่ยงการตรวจจับ ขโมยข้อมูลประจำตัว และตั้งค่าช่องทางสื่อสารผ่าน tunneling utilities

ที่มา: The Hacker News

คำศัพท์เทคนิคที่น่าสนใจ

• PhantomCore – กลุ่มแฮกเกอร์โปรยูเครนที่มีแรงจูงใจทางการเมืองและการเงิน
• TrueConf – ซอฟต์แวร์ประชุมทางไกลสัญชาติรัสเซีย
• command injection – การโจมตีที่ผู้โจมตีสามารถรันคำสั่งระบบปฏิบัติการตามอำเภอใจ
• CVSS score – คะแนนวัดความรุนแรงของช่องโหว่ (0-10)
• web shell – สคริปต์ที่ให้ผู้โจมตีควบคุมเซิร์ฟเวอร์ผ่านเว็บเบราว์เซอร์
• tunneling utility – เครื่องมือที่ใช้สร้างช่องทางสื่อสารที่ซ่อนอยู่