Обычный видеозвонок, обычный установщик, обычный бэкдор. Хакеры снова напомнили, что доверять корпоративному серверу — не то же самое, что доверять вендору
Злоумышленники подменяли клиентские дистрибутивы и заражали организации через привычный сценарий видеозвонка.
Обычное приглашение на видеозвонок в российских организациях превратилось в ловушку. Исследователи обнаружили новую волну атак, в которой злоумышленники используют инфраструктуру TrueConf и подсовывают жертвам вредоносные версии клиентского приложения. Под удар попали транспортные компании, научные организации и учебные учреждения, а последствия такой схемы могут выйти далеко за пределы одной сети.
Первая кампания, связанная с группировкой Head Mare, началась как минимум в декабре 2025 года, а выявили её в феврале 2026-го. Сотрудники организаций получали ссылку с приглашением на видеоконференцию, переходили по ней и видели предложение установить сервис для подключения к звонку. Вместе с установкой на компьютер попадал ранее неизвестный бэкдор, получивший название PhantomPxPigeon.
Сейчас исследователи фиксируют новый всплеск похожей активности. На ряде скомпрометированных серверов TrueConf у организаций из транспортной, научной и образовательной сфер злоумышленники подменили дистрибутивы клиентского приложения. Схема опасна не только для владельца зараженного сервера. Любая внешняя организация, сотрудник которой скачает такой клиент для подключения к звонку, тоже рискует получить заражение.
Как именно атакующие добиваются подмены файлов, пока неизвестно. Одна из рабочих версий связана с уязвимостью BDU:2025-10116, которую исследователи нашли, а разработчик закрыл ещё в августе 2025 года. На фоне новых инцидентов организациям, использующим TrueConf, советуют проверить версию серверного ПО и как можно быстрее установить актуальные обновления по рекомендациям вендора.
Отдельное внимание стоит уделить самим клиентским дистрибутивам, которые сервер раздаёт пользователям. Легитимные установщики TrueConf должны иметь корректную цифровую подпись разработчика. Вредоносные образцы, найденные в ходе расследования, такой подписи не имели. Отсутствие подписи или недоверенная подпись могут указывать на подмену установочного пакета, его модификацию или подготовку файла под эксплуатацию уязвимости. Проверить подлинность дистрибутива можно и через сайт производителя.
Для поиска следов атаки в инфраструктуре специалисты рекомендуют обращать внимание на несколько характерных признаков. Среди них подмена клиентских файлов в директории C:\Program Files\TrueConf Server\ClientInstFiles\, сетевые обращения процесса C:\Program Files\TrueConf\Client\TrueConf.exe к подозрительным доменам и IP-адресам из нетипичных регионов, загрузка подозрительных библиотек, а также создание новых процессов и файлов от имени клиентского приложения. Если злоумышленники эксплуатируют уязвимости сервера, под контроль нужно брать и активность процесса tc_webmgr.exe, прежде всего запуск подозрительных процессов и появление новых файлов.
В «Лаборатории Касперского» отмечают, что защитные продукты компании позволяют искать признаки такой активности. Kaspersky Endpoint Detection and Response Expert, в частности, детектирует использование неподписанного установщика TrueConf по правилу unsigned_trueconf_installer. Похожая вредоносная активность также отслеживается в рамках сервиса Kaspersky Managed Detection and Response.
История с TrueConf показывает старую, но по-прежнему рабочую тактику атакующих: взломать доверенную точку входа и превратить обычный рабочий инструмент в канал заражения. Когда вредоносный файл приходит не с сомнительного сайта, а с корпоративного сервера для видеосвязи, риск для любой организации резко возрастает.