Эксперты по кибербезопасности компаний RED Security и CICADA8 сообщают о появлении волны кибератак с эксплуатацией уязвимостей в продукте для видеоконференцсвязи TrueConf.
Этот метод позволяет злоумышленникам взламывать инфраструктуры российских организаций, удаленно заражать их вредоносным ПО и затем развивать атаку в соответствии с выбранной целью или схемой монетизации.
В ходе атак данного типа злоумышленники эксплуатируют известные уязвимости в TrueConf (BDU:2025-10114, BDU:2025-10116), опубликованные в БДУ ФСТЭК совсем недавно, в августе этого года. Разработчик решения уже выпустил соответствующие обновления безопасности, однако растущее число атак данного типа свидетельствует о том, что во многих организациях до сих пор используются устаревшие версии этого ПО.
Имеющаяся на данный момент информация позволяет предположить, что за этими атаками стоит группировка Head Mare, которая ранее брала на себя ответственность за ряд громких инцидентов информационной безопасности в крупных российских организациях.
После эксплуатации уязвимостей киберпреступники получают доступ к удаленному выполнению команд на сервере TrueConf и проводят первичную разведку инфраструктуры. Затем они создают учетную запись локального пользователя с привилегированными правами, подключаются к командному серверу и скачивают вредоносное ПО. Оно внедряется в процесс TrueConf, и таким образом злоумышленники закрепляются в инфраструктуре. После этого они могут провести полноценную разведку и определить для себя дальнейший вектор и цель атаки, будь то длительный шпионаж или быстрое шифрование данных с последующим требованием выкупа.
«С учетом того, что данный метод атаки уже активно применяется злоумышленниками, мы советуем всем пользователям TrueConf обновить ПО до последней версии и воспользоваться индикаторами компрометации, опубликованными на нашем сайте. Их появление можно отслеживать с помощью средств сетевой защиты и мониторинга событий информационной безопасности. Это поможет оперативно выявить взлом, изолировать скомпрометированные серверы и тем самым не позволит злоумышленникам развить атаку до того момента, когда она нанесет компании реальный ущерб», – подчеркнул Владимир Зуев, технический директор центра мониторинга и реагирования на кибератаки RED Security SOC.
О компаниях
RED Security – открытая экосистема ИБ-решений и экспертизы для комплексной защиты бизнеса. Портфель RED Security включает сервисы центра мониторинга и реагирования на кибератаки RED Security SOC, сервисы по защите от DDoS-атак (Anti-DDoS) и атак на веб-приложения (WAF), сервисы шифрования каналов связи по ГОСТ (ГОСТ VPN), многофакторной аутентификации (MFA) и повышения киберграмотности пользователей (Security Awareness), а также сервис по защите веб-сайтов и API от ботов (Antibot).
*
CICADA8 – компания по управлению уязвимостями и цифровыми угрозами в реальном времени. Направления компании включают продукты и услуги по наступательной безопасности, анализу защищенности, расследованию инцидентов, анализу компрометации инфраструктуры и консалтингу.