فانتوم كور تستغل ثغرات ترو كونف لاختراق المؤسسات الروسية

كشف تقرير أمني عن استغلال مجموعة "فانتوم كور" لثغرات ترو كونف لاختراق الشبكات الروسية، مما يهدد أمن البيانات في المؤسسات، وفق تقرير "تيكبامين".

ما هي مجموعة فانتوم كور وكيف بدأت هجماتها؟

تُعرف مجموعة فانتوم كور (PhantomCore)، والتي تُسمى أحياناً باسم Fairy Trickster، بأنها جماعة "هاكتفيست" ذات دوافع سياسية ومالية بدأت نشاطها المكثف منذ عام 2022. وفقاً لمتابعة تيكبامين، فإن المجموعة متخصصة في شن عمليات واسعة النطاق مع الحفاظ على مستوى عالٍ من التخفي داخل الشبكات المستهدفة لفترات طويلة.

تعتمد المجموعة في هجماتها على تحديث أدواتها الهجومية باستمرار، مما يجعلها قادرة على تنفيذ المهام التالية:

• سرقة البيانات الحساسة من المؤسسات الحكومية والخاصة.
• تعطيل الشبكات الحيوية وإحداث أضرار مادية وبرمجية.
• نشر برمجيات فدية متطورة تعتمد على تسريبات سابقة لبرامج Babuk وLockBit.

كيف تم استغلال ثغرات ترو كونف TrueConf؟

رصد الباحثون الأمنيون سلسلة من ثغرات ترو كونف (TrueConf Server) التي استغلتها المجموعة منذ سبتمبر 2025. تكمن خطورة هذه الثغرات في قدرتها على السماح للمهاجمين بالتحكم الكامل في الخوادم التي تدير مؤتمرات الفيديو المرئية.

وتشمل تفاصيل هذا الاستغلال النقاط التالية:

• استخدام سلسلة من ثلاث ثغرات أمنية لتنفيذ أوامر عن بُعد على الخوادم الحساسة.
• تجاوز أنظمة المصادقة للدخول المباشر إلى الشبكة الداخلية للمنظمة.
• تحويل خادم TrueConf إلى "منصة وثب" للتحرك عرضياً والوصول إلى بيانات المستخدمين.

الأدوات المستخدمة في اختراق ترو كونف

بعد نجاح الاختراق الأولي، قامت مجموعة PhantomCore بنشر مجموعة متنوعة من الأدوات الخبيثة لضمان السيطرة الكاملة. من بين هذه الأدوات "قشرة ويب" (Web Shell) تعتمد على لغة PHP، والتي تتيح للمهاجمين رفع الملفات وتنفيذ أوامر برمجية من مسافات بعيدة.

كما استخدمت المجموعة ملفات DLL لإنشاء مستخدم جديد يحمل الاسم "TrueConf2" على النظام المصاب. هذا المستخدم يمتلك صلاحيات إدارية كاملة (Administrative Privileges)، مما يسمح للمهاجمين بالتحكم في الخادم دون لفت الأنظار أو إثارة الشكوك.

ما هي أهداف هجمات PhantomCore الأخيرة؟

تهدف الهجمات التي رصدتها التقارير الأمنية ونقلها موقع تيكبامين إلى تحقيق أهداف استراتيجية وتجسسية بعيدة المدى. فمن خلال الوصول إلى خوادم ترو كونف، يتمكن المهاجمون من مراقبة الاتصالات، وجمع أوراق الاعتماد (Credentials)، وإعداد قنوات اتصال مخفية باستخدام أدوات "النفق" (Tunneling Utilities).

بالإضافة إلى ذلك، تهدف هذه العمليات إلى ما يلي:

• جمع معلومات استخباراتية دقيقة عن المؤسسات المستهدفة.
• زرع برمجيات خبيثة قادرة على التهرب من الدفاعات الأمنية التقليدية.
• تمهيد الطريق لهجمات مستقبلية تشمل تشفير البيانات وطلب فدية مالية.

كيف تحمي مؤسستك من ثغرات ترو كونف؟

على الرغم من إصدار شركة ترو كونف لتحديثات أمنية في 27 أغسطس 2025 لمعالجة هذه المشكلات، إلا أن التأخر في تثبيت هذه التصحيحات كان السبب الرئيسي وراء نجاح الهجمات. يجب على مديري تكنولوجيا المعلومات اتخاذ خطوات فورية لتأمين بيئاتهم الرقمية.

إليك أهم النصائح الأمنية التي يوصي بها الخبراء:

• تحديث خادم TrueConf Server إلى أحدث نسخة متاحة فوراً وبشكل دوري.
• تقييد الوصول إلى واجهات الإدارة عبر الإنترنت العام واستخدام شبكات VPN.
• تفعيل المراقبة اللحظية لسجلات النظام لاكتشاف أي حسابات إدارية مشبوهة.

في الختام، يظهر استغلال ثغرات ترو كونف من قبل مجموعة فانتوم كور مدى أهمية الاستجابة السريعة للتحذيرات التقنية. إن الحفاظ على أمن المؤسسة يبدأ من تأمين البرمجيات الأساسية لضمان سلامة البيانات من أي تهديد خارجي محتمل.