Российские организации из транспортного, энергетического, научного и образовательного секторов вновь оказались в фокусе внимания киберпреступников. Эксперты по безопасности наблюдают новую волну целевых атак, в ходе которой злоумышленники внедряют сложный бэкдор, маскируя его под легитимное программное обеспечение для видеоконференций. Этот инцидент подчеркивает сохраняющуюся опасность атак на цепочки поставок программного обеспечения, когда компрометация одного доверенного источника приводит к заражению множества конечных пользователей.
Описание
В центре новой кампании оказались серверы популярного отечественного решения для видеосвязи TrueConf. По данным исследователей, хакеры смогли скомпрометировать эти серверы и подменить официальные дистрибутивы клиентского приложения на вредоносные. В результате сотрудники организаций, устанавливавшие программу для подключения к корпоративным видеоконференциям, фактически загружали на свои компьютеры шпионское ПО. Механизм первоначального проникновения на серверы TrueConf пока достоверно не установлен, однако есть основания полагать, что для этого могла быть использована уже известная уязвимость.
Эта уязвимость, зарегистрированная в Банке данных угроз (BDU) под идентификатором BDU:2025-10116, была обнаружена и устранена разработчиком еще в августе 2025 года. Её потенциальное использование спустя полгода указывает на то, что многие организации до сих пор не установили критические обновления безопасности для своего инфраструктурного программного обеспечения. Исследователи в своём отчёте подчеркивают, что подобная тактика - эксплуатация запаздывания с установкой патчей - остается излюбленным методом многих современных хакерских группировок.
Вредоносная программа, внедряемая через скомпрометированные инсталляторы, получила название PhantomPxPigeon. Это ранее неизвестный бэкдор, то есть инструмент для скрытного удалённого управления заражённым компьютером. Анализ его функционала показывает, что злоумышленники могли собирать конфиденциальные данные, закрепляться в системе для долгосрочного присутствия и загружать дополнительную вредоносную нагрузку по команде с управляющего сервера. Иными словами, заражение таким ПО открывает киберпреступникам практически неограниченный доступ к корпоративной сети жертвы.
Наблюдаемая активность не является случайной. Она демонстрирует признаки продолжения кампании, которая была впервые зафиксирована ещё в декабре 2025 года. Тогда группировка, отслеживаемая под условным названием Head Mare, использовала схожую социальную инженерию: жертвам рассылались фишинговые письма со ссылками на якобы запланированные видеовстречи. Переход по ссылке инициировал процесс установки поддельного клиента для конференц-связи, что и приводило к заражению. Нынешняя атака эволюционировала - вместо обмана отдельных пользователей через письма злоумышленники атаковали напрямую инфраструктуру, отравляя источник загрузки программ для тысяч потенциальных жертв.
Последствия подобных компрометаций могут быть крайне серьёзными. Для транспортных компаний это риск саботирования логистических процессов или перехвата коммерческой тайны. Научные и образовательные учреждения рискуют потерей результатов уникальных исследований и персональных данных. В энергетическом секторе, который также был среди целей ранее, угроза приобретает критический характер, потенциально затрагивая вопросы бесперебойности поставок ресурсов. Таким образом, атака выходит за рамки простого кибершпионажа, создавая предпосылки для существенных операционных и финансовых потерь.
Для защиты от этой угрозы эксперты дают ряд конкретных рекомендаций. В первую очередь, всем организациям, использующим TrueConf, необходимо в срочном порядке проверить и обновить серверное программное обеспечение до последней версии, где уязвимость BDU:2025-10116 уже устранена. Кроме того, критически важно верифицировать целостность и подлинность клиентских дистрибутивов. Обнаруженные вредоносные установщики не имеют валидной цифровой подписи разработчика, поэтому проверка электронной подписи файла перед установкой является надёжным способом отсечь подделку. Сверить контрольные суммы дистрибутивов можно на официальном сайте вендора.
Со стороны технологических партнёров также оказывается поддержка. Решения "Лаборатории Касперского" детектируют и блокируют вредоносные инсталляторы PhantomPxPigeon. Для организаций, использующих сервис Kaspersky Managed Detection and Response (MDR), который представляет собой аутсорсинговый центр мониторинга и реагирования на инциденты информационной безопасности, соответствующая вредоносная активность также выявляется в рамках непрерывного анализа телеметрии. Этот инцидент служит ещё одним напоминанием о необходимости комплексного подхода к безопасности, сочетающего своевременное обновление ПО, строгую политику проверки загружаемых приложений и профессиональный мониторинг сетевой активности на предмет аномалий.
Индикаторы компрометации
Domains
- ironshieldsecurity.space
- primeinfosec.space
MD5
- 1561054283df80dade88b6366f6a94b2
- 2e0be66779b6fbd103f525e6e773a3b8
- 3af8b18ca909072dd08b8603105593fe
- 419E57227AFFBED899E7E8388995B956
- 51b2e4bb58e7d31101cbb389fda5ea34
- 577713df800f6ac690cb2189a4b036e9
- 5c82f1363fd8805875eb2a9c3d0a5dec
- 6ff6b3b56602451486ec46aaf3baf50f
- 8a1e4537ff319920602a2642083eb2ab
- a92a9b9258091aa47e770d4dea7a19a3
- b83c970bb871b56ed6746c757700d92e
- bcf39d3ed3110fa2b1c13bb1192a4d31
