Критическая уязвимость в TrueConf использовалась для целевых атак на госструктуры Юго-Восточной Азии

В начале 2026 года аналитики Check Point Research зафиксировали серию целевых атак на правительственные учреждения в Юго-Восточной Азии. Вектором атаки выступило легитимное программное обеспечение TrueConf, уже установленное в инфраструктуре жертв. Расследование привело к обнаружению уязвимости нулевого дня в клиенте TrueConf, оцененной по шкале CVSS в 7.8 баллов. Проблема кроется в механизме проверки обновлений приложения и позволяет злоумышленнику, получившему контроль над локальным сервером TrueConf, распространять и выполнять произвольные файлы на всех подключённых к нему рабочих станциях.

TrueConf - это платформа для видеоконференций, поддерживающая как локальные, так и облачные развёртывания. Особую популярность продукт имеет в России, а также в странах Восточной Азии, Европы и Америки. Более 100 тысяч организаций по всему миру, включая ключевые правительственные и оборонные ведомства, объекты критической инфраструктуры, банки и телекомпании, используют это решение. В корпоративных средах его локальная архитектура создаёт отношения доверия между центральным сервером и подключёнными клиентами, особенно через встроенный механизм обновлений, который в данном случае и был атакован.

С технической точки зрения уязвимость CVE-2026-3502 связана с отсутствием проверки целостности и подлинности в процессе обновления. Когда клиент TrueConf запускается, он проверяет подключённый локальный сервер на наличие доступных обновлений. Если сервер предлагает более новую версию клиента, приложение предлагает пользователю загрузить её. Однако, как выяснили исследователи, злоумышленник, получивший контроль над сервером, может заменить ожидаемый пакет обновления на произвольный исполняемый файл, который будет представлен как актуальная версия приложения и распространён на все подключённые клиенты. Поскольку клиент безоговорочно доверяет обновлению от сервера, вредоносный файл может быть доставлен и выполнен под видом легитимного обновления TrueConf.

В рамках операции TrueChaos атака начиналась с того, что клиентское приложение TrueConf запускалось, вероятно, по ссылке, отправленной цели от имени злоумышленника. Эта ссылка открывала уже установленный клиент и выводила запрос на обновление, утверждая, что доступна новая версия. К этому моменту злоумышленник уже заменял пакет обновления на локальном сервере TrueConf на модифицированную, вредоносную версию. Скомпрометированный сервер управлялся государственным IT-отделом и обслуживал десятки правительственных учреждений по всей стране, которые все получили одно и то же зловредное обновление.

Анализ загруженного пакета показал, что это было модифицированное клиентское обновление. Вместе с легитимными компонентами установки TrueConf пакет сбрасывал безобидный исполняемый файл poweriso.exe и вредоносную библиотеку 7z-x64.dll в путь c:\programdata\poweriso\, которая затем загружалась посредством техники DLL side-loading (подмены динамической библиотеки). С помощью этого импланта злоумышленник выполнял серию действий, направленных на разведку, подготовку окружения, закрепление в системе и загрузку дополнительных модулей. Среди прочего, изменялась переменная окружения PATH текущего пользователя для обхода контроля учётных записей (UAC) с помощью легитимного инструмента Microsoft iSCSI Initiator Control Panel.

Хотя исследователям не удалось извлечь окончательную полезную нагрузку, связанный с активностью вредоносной библиотеки, они наблюдали сетевое взаимодействие с контролируемым злоумышленником сервером, на котором работала инфраструктура управления Havoc C2. Havoc - это открытый пост-эксплуатационный фреймворк, предназначенный для тестирования на проникновение, но он также неоднократно использовался реальными угрозными акторами, в том числе группами, связанными с Китаем. На основе совокупности доказательств аналитики с высокой степенью уверенности считают, что конечной целью атаки была установка импланта Havoc.

Check Point Research оценивает со средней степенью уверенности, что операция TrueChaos связана с угрозным актором, действующим в интересах Китая. Эта оценка основана на сочетании факторов, включая тактики, техники и процедуры (TTPs), характерные для китайских операций, использование хостинга Alibaba Cloud и Tencent для инфраструктуры управления, а также целевую аудиторию, соответствующую стратегическим интересам Китая в регионе. Также было отмечено, что на ту же жертву в тот же период времени нацеливался вредоносный фреймворк ShadowPad, что может указывать на пересечение инструментария, общий доступ или присутствие нескольких групп, действующих в интересах Китая и атакующих одну организацию параллельно.

Эксплуатация CVE-2026-3502 не требовала от злоумышленника компрометировать каждую конечную точку индивидуально. Вместо этого атакующий злоупотребил доверенными отношениями между центральным локальным сервером TrueConf и его клиентами. Заменив легитимное обновление на вредоносное, они превратили штатный процесс обновления продукта в канал распространения вредоносного ПО по множеству подключённых правительственных сетей. Этот случай показывает, как мониторинг и анализ рутинных методов выполнения могут выявить гораздо более серьёзные угрозы. То, что изначально выглядело как подписанный бинарный файл, используемый для подмены библиотек, в итоге привело к обнаружению уязвимости нулевого дня в механизме проверки обновлений TrueConf. Разработчик был уведомлён об уязвимости, и исправление включено в клиент для Windows, начиная с версии 8.5.3, выпущенной в марте 2026 года. Организациям, использующим локальные серверы TrueConf, настоятельно рекомендуется обеспечить их актуальность и контролировать целостность файлов обновлений.

IPv4

• 43.134.52.221
• 43.134.90.60
• 47.237.15.197

MD5

• 22e32bcf113326e366ac480b077067cf
• 248a4d7d4c48478dcbeade8f7dba80b3
• 9b435ad985b733b64a6d5f39080f4ae0