В российском сегменте интернета наблюдается резкий рост числа целенаправленных атак на организации, использующие программное обеспечение для видеоконференций TrueConf Server. Киберпреступники активно эксплуатируют цепочку недавно исправленных уязвимостей, что позволяет им получать полный контроль над корпоративными серверами. К расследованию подключились специалисты центра мониторинга и реагирования на кибератаки RED Security SOC и компании CICADA8, которые детально проанализировали тактику злоумышленников и подготовили рекомендации по защите.
Описание
Атаки начинаются с использования сервисов анонимизации, в частности Proton VPN, что затрудняет отслеживание истинного источника угрозы. На первом этапе злоумышленники применяют связку двух уязвимостей, зарегистрированных в базе данных уязвимостей ФСТЭК России под идентификаторами BDU:2025-10114 и BDU:2025-10116. Первая представляет собой уязвимость типа Server-Side Request Forgery (подделка межсайтовых запросов), а вторая - Command Injection (внедрение команд), что в совокупности позволяет выполнять произвольные команды на целевом сервере.
После успешной эксплуатации этих уязвимостей злоумышленники запускают команды через оболочку cmd.exe от имени процесса tc_webmgr.exe, который является частью TrueConf Server. Для сбора результатов выполнения команд используется нестандартный метод: вывод перенаправляется в файл c.css, расположенный в публично доступной директории веб-сервера. Это позволяет атакующим получать информацию о системе через обычные HTTP-запросы, минуя традиционные механизмы мониторинга.
Следующим этапом становится создание привилегированных учетных записей с именами audit и audit1 для закрепления в системе. Затем устанавливается обратное соединение с командным сервером злоумышленников по протоколу SSH, что обеспечивает постоянный доступ к инфраструктуре даже после перезагрузки системы. Для повышения устойчивости атаки злоумышленники регистрируют системную службу, которая загружает вредоносную библиотеку, гарантируя сохранение доступа при перезапуске сервера.
По данным экспертов по кибербезопасности, обнаруженные индикаторы компрометации частично совпадают с активностью группы Head Mare, которая относится к категории APT (продвинутая постоянная угроза). В частности, аналитики обнаружили связь с IP-адресом 5.178.96[.]82, который ранее идентифицировался как командный сервер этой группировки. Обнаруженные артефакты, включая файлы с названиями вроде "Задание_на_оценку_N_2046_от_05_августа_2025_года.zip" и "winnt64_.dll", подтверждают эту атрибуцию.
Разработчик TrueConf уже выпустил обновления безопасности, устраняющие данные уязвимости, однако многие организации до сих пор не установили патчи. Специалисты подчеркивают, что основная мера защиты - немедленное обновление TrueConf Server до актуальной версии. Также рекомендуется усилить мониторинг активности процессов tc_webmgr.exe и tc_server.exe, которые используются злоумышленниками для выполнения вредоносных команд.
Для противодействия атаке эксперты советуют заблокировать на периметровом оборудовании известные индикаторы компрометации, включая IP-адреса и доменные имена, связанные с активностью злоумышленников. Особое внимание следует уделить детектированию самой эксплуатации уязвимостей, а не только последующих действий атакующих, поскольку индикаторы постэксплуатационной активности могут быстро меняться.
Регулярное обновление программного обеспечения остается ключевым элементом защиты от подобных инцидентов. Организациям, использующим TrueConf Server, следует немедленно проверить версию установленного ПО и при необходимости установить все доступные обновления безопасности. Дополнительные меры должны включать мониторинг нестандартной активности веб-сервера, особенно попыток доступа к файлам в необычных директориях, и анализ создаваемых системных служб на предмет их легитимности.
Индикаторы компрометации
IPv4
- 185.90.60.227
- 31.57.108.232
- 31.57.109.151
- 31.58.134.251
- 5.178.96.82
- 5.252.178.171
Domains
- xbox-updater.online
