Эксперты об атаках с использованием уязвимостей в TrueConf

Компании RED Security и CICADA8 сообщили о появлении волны кибератак с эксплуатацией уязвимостей в продукте для видеоконференцсвязи TrueConf. По данным экспертов по кибербезопасности, этот метод позволяет злоумышленникам взламывать инфраструктуры российских организаций, удаленно заражать их вредоносным ПО и затем развивать атаку в соответствии с выбранной целью или схемой монетизации.

В ходе атак злоумышленники эксплуатируют известные уязвимости в TrueConf (BDU:2025-10114, BDU:2025-10116), опубликованные в БДУ ФСТЭК в августе этого года. Разработчик решения уже выпустил соответствующие обновления безопасности, однако растущее число атак данного типа свидетельствует о том, что во многих организациях до сих пор используются устаревшие версии этого ПО.

Имеющаяся на данный момент информация позволяет предположить, что за этими атаками стоит группировка Head Mare, которая ранее брала на себя ответственность за ряд громких инцидентов ИБ в крупных российских организациях.

После эксплуатации уязвимостей киберпреступники получают доступ к удаленному выполнению команд на сервере TrueConf и проводят первичную разведку инфраструктуры. Затем они создают учетную запись локального пользователя с привилегированными правами, подключаются к командному серверу и скачивают вредоносное ПО. Оно внедряется в процесс TrueConf и таким образом злоумышленники закрепляются в инфраструктуре. После этого они могут провести полноценную разведку и определить для себя дальнейший вектор и цель атаки, будь то длительный шпионаж или быстрое шифрование данных с последующим требованием выкупа.

В RED Security SOC советуют всем пользователям TrueConf обновить ПО до последней версии и воспользоваться индикаторами компрометации, опубликованными на сайте RED Security. Их появление можно отслеживать с помощью средств сетевой защиты и мониторинга событий информационной безопасности, это поможет оперативно выявить взлом и изолировать скомпрометированные серверы.