В TrueConf нашли критическую уязвимость для атак на госорганы
3 мин
20
Критическая уязвимость в клиенте TrueConf для видеоконференций уже эксплуатируется в атаках на государственные организации Юго-Восточной Азии. Обнаружившие её специалисты Check Point назвали эту кампанию TrueChaos («Настоящий хаос»). На момент написания материала уязвимость уже устранили в обновлении TrueConf 8.5.3 в версии для Windows. Об этом сообщили изданию «Киберболоид» в пресс-службе TrueConf.
Уязвимость получила идентификатор CVE-2026-3502 с оценкой 7,8 из 10 по шкале CVSS. Проблема заключается в отсутствии проверки целостности при загрузке обновлений. Атакующие могут подменить последние и выполнить произвольный код в системе.
Получив контроль над локальным сервером TrueConf, злоумышленник подменяет легитимное обновление на вредоносное. Клиент загружает его без проверок — валидация отсутствует, приложение доверяет полученным от сервера данным. В TrueChaos через эту уязвимость разворачивают C2-фреймворк Havoc. Эксперты приписывают атаки подобного рода преимущественно китайским группировкам.
Первые подобные инциденты зафиксировали в начале 2026 года. Через механизм обновлений на устройства попадает вредоносный инсталлятор, который применяет DLL side-loading для запуска бэкдора. Имплант 7z-x64.dll проводит разведку, настраивает персистентность и загружает дополнительные компоненты с FTP-сервера 47.237.15[.]197.
Модуль iscsiexe.dll запускает легитимный бинарный файл poweriso.exe, который загружает основной бэкдор. Финальная цель подобных действий — развёртывание Havoc-импланта.
Китайский след атакам приписывают по нескольким индикаторам. DLL side-loading — типичная тактика китайских APT. Для инфраструктуры C2 используются Alibaba Cloud и Tencent. Те же цели и в тот же период атаковали с применением ShadowPad — бэкдора, распространённого среди китайских групп. В 2025 году Havoc уже использовала группа Amaranth-Dragon в операциях против госструктур и правоохранительных органов Юго-Восточной Азии.
Аналитики подчеркнули особенность CVE-2026-3502: компрометация каждой конечной точки не требуется. Достаточно получить доступ к центральному серверу TrueConf. Одна подмена обновления распространяет вредоносное ПО на все подключённые системы в государственных сетях. Штатный процесс обновлений становится каналом дистрибуции вредоносов.
