Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Устали от спама и фишинга?

Вредоносные письма просто не дойдут до ваших пользователей — мы позаботились об этом.
Онлайн-трансляция — 9 апреля в 15:00 — присоединяйтесь.

Теперь можно взломать организации, даже не имеющие выхода в интернет. Хватило видеосвязи и одного обновления

TrueConf zero-day TrueChaos Check Point видеоконференция
Теперь можно взломать организации, даже не имеющие выхода в интернет. Хватило видеосвязи и одного обновления
TrueConf zero-day TrueChaos Check Point видеоконференция

Хакеры заразили государственные ведомства через платформу TrueConf.

image

Злоумышленники нашли способ превратить корпоративный видеосервер в инструмент массового заражения. Под удар попала платформа TrueConf, которую используют государственные структуры и крупный бизнес по всему миру.

Речь идёт об уязвимости CVE-2026-3502. Проблема связана с механизмом обновлений: система не проверяет целостность пакета. В результате атакующий может подменить легитимное обновление вредоносным файлом и разослать его всем подключённым клиентам. Пользователь видит обычное обновление, но фактически запускает чужой код.

TrueConf часто разворачивают внутри закрытых сетей без выхода в интернет. Платформа стала особенно популярной во время пандемии, когда на удалённую работу перешли десятки тысяч организаций. Среди клиентов – военные структуры, государственные ведомства, нефтегазовые компании и службы управления воздушным движением.

Специалисты Check Point с начала года наблюдают кампанию под названием TrueChaos. Атаки направлены на государственные организации в Юго-Восточной Азии и используют уязвимость как «нулевой день». Злоумышленник, получив доступ к серверу TrueConf внутри организации, подменяет обновление и распространяет вредоносный файл сразу на все подключённые устройства.

После заражения атакующая сторона загружает дополнительные компоненты, собирает информацию о системе и повышает привилегии. В цепочке атаки заметили запуск стандартных утилит Windows, обход контроля учётных записей и закрепление в системе. Конечную нагрузку извлечь не удалось, однако сетевой трафик указывает на использование Havoc – открытого инструмента управления заражёнными машинами. Ранее его применяла китайская группа Amaranth Dragon в похожих операциях.

По косвенным признакам активность связывают с группировкой, аффилированной с Китаем. На это указывают методы работы, инфраструктура управления и выбор целей.

Уязвимость затрагивает версии TrueConf с 8.1.0 по 8.5.2. Исправление выпустили в марте 2026 года в версии 8.5.3. Среди признаков компрометации называют появление файлов вроде poweriso.exe, 7z-x64.dll, а также подозрительных архивов и библиотек в пользовательских каталогах.