В TrueConf обнаружили уязвимость нулевого дня — брешь, которую начали использовать в атаках до выхода исправления. По данным Check Point Research, через нее злоумышленники подменяли обновление клиента и рассылали вредоносный файл всем устройствам, подключенным к скомпрометированному серверу TrueConf. Уязвимость получила идентификатор CVE-2026-3502. Она связана с тем, что клиент загружал обновление без должной проверки целостности и подлинности файла.
Если локальный сервер TrueConf сообщал клиенту, что доступна более новая версия, приложение предлагало скачать обновление с этого сервера. Исследователи установили, что при таком сценарии клиент доверял полученному файлу и не выполнял достаточную криптографическую проверку. Если атакующий получал контроль над сервером TrueConf внутри организации, он мог подменить обычный пакет обновления на вредоносный исполняемый файл. После этого поддельное «обновление» распространялось на все подключенные рабочие станции.
Кампания получила название TrueChaos. По наблюдениям исследователей, атаки шли с начала 2026 года и были направлены на государственные структуры в Юго-Восточной Азии. Для доставки вредоносного кода использовался централизованно управляемый сервер TrueConf, от которого зависели сразу многие подключенные клиенты. Злоумышленникам не нужно было отдельно взламывать каждый компьютер, достаточно было использовать доверие клиентов к своему серверу обновлений.
Технически цепочка заражения выглядела так: пользователю показывали штатное окно обновления, после чего вместе с легитимными компонентами на систему попадали посторонние файлы. В расследовании упоминаются, в частности, poweriso.exe, библиотека 7z-x64.dll, а также артефакты вроде %AppData%\Roaming\Adobe\update.7z и iscsiexe.dll. Исследователи также зафиксировали использование DLL sideloading — это прием, при котором безобидная на вид программа загружает вредоносную библиотеку вместо штатной. Кроме того, в атаке применяли инструменты разведки системы, повышение привилегий и механизмы закрепления в системе.
Финальную полезную нагрузку исследователи полностью не извлекли, однако сетевой трафик указывал на инфраструктуру Havoc. Это открытый фреймворк командного управления, который обычно используют для тестов на проникновение и эмуляции атак, но его регулярно берут на вооружение и реальные злоумышленники.
Уязвимость затрагивает версии TrueConf с 8.1.0 по 8.5.2, а исправление вошло в версию 8.5.3. Check Point сообщает, что уведомила вендора, после чего был подготовлен патч. На сайте TrueConf действительно есть публикация о выходе версии 8.5.3 от 1 апреля 2026 года, а NVD указывает эту ветку обновлений как связанную с исправлением CVE-2026-3502.
2 апреля 2026 года CVE-2026-3502 попала в каталог CISA Known Exploited Vulnerabilities — перечень уязвимостей, по которым есть подтверждение эксплуатации в реальных атаках. Для федеральных ведомств США по этой записи установлен срок устранения до 16 апреля 2026 года.
Администраторам стоит проверить версию клиента TrueConf на рабочих станциях, наличие обновления до 8.5.3 и выше, признаки подозрительных файлов из отчета Check Point, а также сам сервер TrueConf, если он раздает обновления внутри сети. В рекомендациях исследователей отдельно сказано обращать внимание на неподписанный trueconf_windows_update.exe, появление C:\ProgramData\PowerISO\poweriso.exe и другие индикаторы компрометации.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
