TokyoBlackHatNews

gbhackers.com 4分で読了

東南アジア政府機関への攻撃で悪用されているTrueConfの脆弱性

Check Point Researchは、TrueConfビデオ会議クライアントの重大なゼロデイ脆弱性を発見しました。

CVE-2026-3502として追跡され、CVSS スコア 7.8 のこの脆弱性は、東南アジアの政府機関に対する標的型攻撃で現在悪用されています。

「Operation TrueChaos」と呼ばれるこのキャンペーンは、アプリケーションの信頼されたアップデートシステムを使用して、Havoc ポストエクスプロイテーション ペイロードを脆弱なマシンに配信します。

脆弱性: CVE-2026-3502

TrueConfは世界中で使用されている人気のビデオ会議プラットフォームで、特に安全なオンプレミス ネットワークが必要な政府、軍事、重要インフラセクターで使用されています。

このソフトウェアは、インターネット アクセスなしで完全にプライベート ローカル ネットワーク内で動作するように設計されており、厳密なデータ プライバシーを確保しています。

しかし、CheckPoint の研究者は TrueConf クライアントがアップデートを処理する方法に重大な欠陥を発見しました。アプリケーションが起動すると、オンプレミス サーバーで新しいバージョンをチェックします。

アップデートが利用可能な場合、クライアントはそれをダウンロードしてインストールします。このアップデート プロセスは、認証性とファイル整合性の適切なセキュリティ チェックが欠けているため、脆弱性が存在します。

Image

中央の TrueConf サーバーを制御する攻撃者は、正当なアップデートを悪意のあるプログラムに置き換えることができます。

接続されたクライアントは、この悪意のあるファイルを通常のアップデートであるかのように無条件に信頼して実行します。

TrueChaos 攻撃チェーン

観測された攻撃では、脅威アクターが政府 IT 部門の中央 TrueConf サーバーに侵害しました。

このサーバーは数十の政府機関に接続されていました。正当なアップデートを武装化されたパッケージと交換することで、攻撃者は個別に侵害する必要なく、すべての接続されたエンドポイントを同時に感染させました。

アップデートはクライアントを正常にアップグレードしましたが、2 つの隠しファイルをドロップしました: poweriso.exe という名前の無害な実行可能ファイルと 7z-x64.dll という悪意のあるファイルです。

テーブルなしのポイント明確化のご希望に従い、攻撃チェーンは以下のように展開しました:

  • システムは DLL サイド ローディングと呼ばれる技術を使用して悪意のある DLL ファイルを読み込みました。
  • 攻撃者はネットワークをマップして実行中のプロセスをチェックするための偵察コマンドを実行しました。
  • iscsiexe.dll という名前のファイルを含む追加ツールがリモート サーバーからダウンロードされました。
  • 攻撃者は Windows セキュリティ プロンプトをバイパスして、昇格したシステム権限を取得しました。
  • 最後に、システムは攻撃者が制御するサーバーに接続して、Havoc ペイロード (ハッカーによってしばしば悪用されるオープンソース ポスト エクスプロイテーション フレームワーク) をダウンロードしました。

戦術、技術、およびクラウド ホスティング プロバイダーの選択に基づいて、研究者は適度な信頼度で中国系の脅威アクターが Operation TrueChaos の背後にいると評価しています。

標的地域と被害者プロフィールは既知のスパイ行為キャンペーンと一致しています。

TrueConf はこの問題を修正するためにバージョン 8.5.3 をリリースしました。潜在的な侵害を特定するために、ディフェンダーは署名なしのアップデート ファイル、ProgramData フォルダーに予期しない poweriso.exe または 7z-x64.dll の存在、および無許可のレジストリ実行キーを探す必要があります。組織はネットワークを保護するために、ベンダー パッチを直ちに適用する必要があります。

侵害の兆候

trueconf_windows_update.exe – 悪意のある TrueConf クライアント更新
22e32bcf113326e366ac480b077067cf

iscsiexe.dll – ローダー
9b435ad985b733b64a6d5f39080f4ae0

7z-x64.dll – Havoc インプラント
248a4d7d4c48478dcbeade8f7dba80b3

43.134.90[.]60 – Havoc C2
43.134.52[.]221 – Havoc C2
47.237.15[.]197 – Havoc C2

翻訳元: https://gbhackers.com/trueconf-vulnerability-under-active-exploitation/

ソース: gbhackers.com
#CVE-2026-3502 #DLLサイドローディング #Havocペイロード #Operation TrueChaos #TrueConf #スパイ活動 #ゼロデイ脆弱性 #中国APT #政府機関狙い #東南アジア

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚