ハッカーはゼロデイ脆弱性を悪用したTrueConfカンファレンスサーバへの攻撃を実行し、接続されたすべてのエンドポイント上で任意のファイルを実行することができています。
この脆弱性はCVE-2026-3502として追跡されており、中程度の深刻度スコアを受けています。ソフトウェアのアップデートメカニズムにおける整合性チェックの欠落に起因するもので、正規のアップデートを悪質な亜種に置き換えるために使用される可能性があります。
TrueConfはセルフホストされたサーバとして実行できるビデオコンファレンスプラットフォームです。クラウドデプロイメントもサポートしていますが、一般的には閉じたオフライン環境向けに設計されています。
ベンダーによれば、COVID-19パンデミック中に10万以上の組織がリモートオンラインビジネスアクティビティのためにTrueConfに移行しました。TrueConfユーザーには、軍隊、政府機関、石油・ガス企業、航空交通管理企業が含まれています。
CheckPointの研究者は、TrueChaosとして追跡されるキャンペーンを監視しており、年初以来、東南アジアの政府機関を対象としたゼロデイ攻撃でCVE-2026-3502を悪用しています。
「オンプレミスのTrueConfサーバを制御するハッカーは、予想されるアップデートパッケージを現在のアプリケーションバージョンとして提示される任意の実行可能ファイルに置き換え、接続されているすべてのクライアントに配布することができます。」とCheckPointは述べています。
「クライアントが適切な検証なしにサーバが提供するアップデートを信頼するため、悪意のあるファイルは正規のTrueConfアップデートを装って配信・実行される可能性があります。」
この脆弱性はTrueConfバージョン8.1.0~8.5.2に影響し、CheckPointがベンダーに報告した後、2026年3月にバージョン8.5.3で修正がリリースされました。
「TrueChaos」作戦
CheckPointは、戦術、技術、手順(TTP)、コマンド・アンド・コントロール(C2)インフラストラクチャをホストするためのAlibaba CloudとTencentの使用、および被害者分析に基づいて、TrueChaosアクティビティを中国に関連する脅威アクターに帰属させることに対して中程度の信頼を持っています。
攻撃は一元的に管理される政府のTrueConfサーバを通じて拡大し、複数の機関に影響を及ぼし、偽のアップデートを通じて悪質なファイルをすべての接続されたTrueConfクライアントにプッシュしています。
感染チェーンにはDLLサイドローディング、偵察ツール(tasklist、tracert)のデプロイ、権限昇格(iscicpl.exeを経由したUACバイパス)、および永続性の確立が含まれます。
研究者は最終的なペイロードを回復することができませんでしたが、ネットワークトラフィックがHavoc C2インフラストラクチャを指していることを指摘し、Havocイメプラントが使用されたことが非常に可能性が高いことを示唆しています。
Havocはコマンド実行、プロセス管理、Windowsトークン操作、シェルコード実行、および侵害されたシステムへの追加ペイロードのデプロイが可能なオープンソースC2フレームワークです。
同様の対象範囲での攻撃で、中国の脅威クラスター「Amaranth Dragon」によって以前に使用されています。
CheckPointのレポートは侵害の指標(IoC)および複数の感染信号を共有します。侵害の強い兆候には、poweriso.exeまたは7z-x64.dllの存在、および%AppData%\Roaming\Adobe\update.7zまたはiscsiexe.dllなどの疑わしいアーティファクトが含まれます。
