中国のハッカーがアジアの政府機関への攻撃でTrueConfビデオ会議ソフトウェアのゼロデイ脆弱性を悪用していると、Check Pointが報告しています。
悪用されたバグはCVE-2026-3502(CVSSスコア7.8)として追跡されており、アプリケーションがアップデートを適用する前に適切に検証しないために存在します。
これにより、攻撃者がアップデートコードを改ざんできた場合、悪意のあるコードが実行されます。これが観察された攻撃で悪用されたメカニズムだとCheck Pointは述べています。
TrueConfはインターネットアクセスなしでプライベートローカルネットワーク内のオンプレミスにデプロイでき、通信の自律性とプライバシーのために政府、軍事、および重要インフラ機関によって典型的に使用されています。
「内部ハードウェア上にサーバをホストすることにより、すべてのオーディオ、ビデオ、およびチャットトラフィックはサイト内に厳密に閉じ込められたままであり、完全にエアギャップされたシステムではオフライン活性化が利用可能です」とCheck Pointは説明しています。
TrueConfクライアントのアップデートフローは、接続されたオンプレミスサーバに依存して新しいバージョンを取得およびインストールしますが、インストーラを実行する前に必要な整合性と真正性チェックを実行しません。
「TrueConfクライアントアップデートは、クライアントがTrueConfオンプレミスサーバに有利なバージョン不一致を検出したときに開始され、クライアントはユーザーに新しいバージョンが利用可能であることを警告し、ダウンロードを提供します」とCheck Pointは指摘しています。
CheckPointがTrueChaosと名付けた観察された攻撃の一部として、ハッカーはオンプレミスのTrueConfサーバを侵害し、アップデートパッケージを悪意のあるものに置き換え、その後、ターゲットにTrueConfクライアントを起動してアップデートフローをトリガーするためのリンクを送信したと思われます。
「侵害されたTrueConfオンプレミスサーバは政府のIT部門によって運営され、国中の数十の政府機関のビデオ会議プラットフォームとして機能し、すべてが同じ悪意のあるアップデートを提供されました」とCheck Pointは指摘しています。
正当なTrueConfインストールコンポーネントに加えて、変更されたアップデートパッケージは悪意のあるライブラリと、ライブラリを実行するためにDLL sideloadingに悪用された正当な実行可能ファイルをドロップしました。
このインプラントにより、攻撃者は偵察の実行、横移動の準備、永続性の達成、および追加ペイロードの取得が可能になりました。
最終的なペイロードを取得しませんでしたが、Check Pointはオープンソースの悪用後フレームワークであるHavocのコマンドアンドコントロール(C&C)インフラストラクチャとして使用されているIPへのネットワーク通信を観察しました。サイバーセキュリティ企業は、中国の脅威アクターが侵入の責任があったと考えています。
「CVE-2026-3502の悪用は、攻撃者が各エンドポイントを個別に侵害する必要がありませんでした。代わりに、攻撃者は中央のオンプレミスTrueConfサーバとそのクライアント間の信頼関係を悪用しました」とCheck Pointは指摘しています。
TrueConfは3月にリリースされたクライアントのバージョン8.5.3でゼロデイを修正しました。木曜日に、米国のサイバーセキュリティ機関CISAはバグを既知の悪用された脆弱性(KEV)カタログに追加し、連邦機関に4月16日までにパッチを適用するよう促しています。
翻訳元: https://www.securityweek.com/trueconf-zero-day-exploited-in-asian-government-attacks/
