RED Security и СICADA8 предупреждают об атаках с использованием уязвимостей в TrueConf

В ходе атак данного типа злоумышленники эксплуатируют известные уязвимости в TrueConf (BDU:2025-10114, BDU:2025-10116), опубликованные в БДУ ФСТЭК совсем недавно – в августе этого года. Разработчик решения уже выпустил соответствующие обновления безопасности, однако растущее число атак данного типа свидетельствует о том, что во многих организациях до сих пор используются устаревшие версии этого ПО.

Имеющаяся на данный момент информация позволяет предположить, что за этими атаками стоит группировка Head Mare, которая ранее брала на себя ответственность за ряд громких инцидентов информационной безопасности в крупных российских организациях.

После эксплуатации уязвимостей киберпреступники получают доступ к удаленному выполнению команд на сервере TrueConf и проводят первичную разведку инфраструктуры. Затем они создают учетную запись локального пользователя с привилегированными правами, подключаются к командному серверу и скачивают вредоносное ПО. Оно внедряется в процесс TrueConf, и таким образом злоумышленники закрепляются в инфраструктуре. После этого они могут провести полноценную разведку и определить для себя дальнейший вектор и цель атаки, будь то длительный шпионаж или быстрое шифрование данных с последующим требованием выкупа.

«С учетом, что данный метод атаки уже активно применяется злоумышленниками, мы советуем всем пользователям TrueConf обновить ПО до последней версии и воспользоваться индикаторами компрометации, опубликованными на нашем сайте. Их появление можно отслеживать с помощью средств сетевой защиты и мониторинга событий информационной безопасности. Это поможет оперативно выявить взлом, изолировать скомпрометированные серверы и тем самым не позволит злоумышленникам развить атаку до того момента, когда она нанесет компании реальный ущерб», – подчеркнул Владимир Зуев, технический директор центра мониторинга и реагирования на кибератаки RED Security SOC.