Хакеры атаковали серверы TrueConf, используя уязвимость нулевого дня (CVE-2026-3502), позволяющую выполнять произвольные файлы на конечных точках. Атаки в рамках операции TrueChaos нацелены на госучреждения Юго-Восточной Азии. — bleepingcomputer.com
Хакеры нацелились на серверы для конференц-связи TrueConf в атаках, использующих уязвимость нулевого дня, которая позволяет им выполнять произвольные файлы на всех подключенных конечных точках.
Эта уязвимость отслеживается как CVE-2026-3502 и получила средний уровень критичности. Она вызвана отсутствием проверки целостности в механизме обновления программного обеспечения, который может быть использован для подмены легитимного обновления вредоносным вариантом.
TrueConf — это платформа для видеоконференций, которая может работать как автономный сервер. Хотя она также поддерживает облачные развертывания, в основном она предназначена для закрытых, автономных сред.
По данным поставщика, более 100 000 организаций перешли на TrueConf во время пандемии COVID-19 для удаленной онлайн-деятельности. Среди пользователей TrueConf — военные ведомства, государственные учреждения, нефтегазовые корпорации и компании по управлению воздушным движением.
Исследователи CheckPoint отслеживают кампанию под названием TrueChaos, которая с начала года использует CVE-2026-3502 в атаках нулевого дня, нацеленных на государственные структуры в Юго-Восточной Азии.
«Злоумышленник, получивший контроль над локальным сервером TrueConf, может заменить ожидаемый пакет обновления на произвольный исполняемый файл, представленный как текущая версия приложения, и распространить его на все подключенные клиенты», — заявляет CheckPoint.
«Поскольку клиент доверяет обновлению, предоставленному сервером, без должной проверки, вредоносный файл может быть доставлен и выполнен под видом легитимного обновления TrueConf».
Уязвимость затрагивает версии TrueConf с 8.1.0 по 8.5.2, и после сообщения CheckPoint поставщику исправление было выпущено в версии 8.5.3 в марте 2026 года.
Операция «TrueChaos»
CheckPoint с умеренной уверенностью приписывает активность TrueChaos угрожающему актору, связанному с Китаем, основываясь на тактиках, методах и процедурах (TTP), использовании Alibaba Cloud и Tencent для размещения инфраструктуры командного и управляющего центра (C2), а также на выборе жертв.
Атаки распространялись через централизованно управляемый государственный сервер TrueConf, затрагивая несколько ведомств и доставляя вредоносные файлы через поддельные обновления всем подключенным клиентам TrueConf.
Цепочка заражения включает DLL sideloading и развертывание инструментов разведки (tasklist, tracert), повышение привилегий (обход UAC через iscicpl.exe) и установление постоянства.
Исследователям не удалось восстановить конечную полезную нагрузку, но они отметили, что сетевой трафик указывал на инфраструктуру C2 Havoc, что делает весьма вероятным использование имплантата Havoc.
Havoc — это фреймворк C2 с открытым исходным кодом, способный выполнять команды, управлять процессами, манипулировать токенами Windows, выполнять шелл-код и развертывать дополнительные полезные нагрузки на скомпрометированных системах.
Ранее он использовался китайским кластером угроз «Amaranth Dragon» в атаках с аналогичным кругом целей.
В отчете CheckPoint представлены индикаторы компрометации (IoC), а также несколько сигналов заражения. К явным признакам взлома относятся наличие файлов poweriso.exe или 7z-x64.dll и подозрительные артефакты, такие как %AppData%\Roaming\Adobe\update.7z или iscsiexe.dll.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas