Поделиться
RED Security и СICADA8 предупреждают об атаках с использованием уязвимостей в TrueConf
Эксперты по кибербезопасности компаний RED Security и CICADA8 сообщают о появлении волны кибератак с эксплуатацией уязвимостей в продукте для видеоконференцсвязи TrueConf. Этот метод позволяет злоумышленникам взламывать инфраструктуры российских организаций, удаленно заражать их вредоносным ПО и затем развивать атаку в соответствии с выбранной целью или схемой монетизации. Об этом CNews сообщили представители RED Security.
В ходе атак данного типа злоумышленники эксплуатируют известные уязвимости в TrueConf (BDU:2025-10114, BDU:2025-10116), опубликованные в БДУ ФСТЭК совсем недавно – в августе 2025 г. Разработчик решения уже выпустил соответствующие обновления безопасности, однако растущее число атак данного типа свидетельствует о том, что во многих организациях до сих пор используются устаревшие версии этого ПО.
Имеющаяся на данный момент информация позволяет предположить, что за этими атаками стоит группировка Head Mare, которая ранее брала на себя ответственность за ряд громких инцидентов информационной безопасности в крупных российских организациях.
После эксплуатации уязвимостей киберпреступники получают доступ к удаленному выполнению команд на сервере TrueConf и проводят первичную разведку инфраструктуры. Затем они создают учетную запись локального пользователя с привилегированными правами, подключаются к командному серверу и скачивают вредоносное ПО. Оно внедряется в процесс TrueConf, и таким образом злоумышленники закрепляются в инфраструктуре. После этого они могут провести полноценную разведку и определить для себя дальнейший вектор и цель атаки, будь то длительный шпионаж или быстрое шифрование данных с последующим требованием выкупа.
«С учетом, что данный метод атаки уже активно применяется злоумышленниками, мы советуем всем пользователям TrueConf обновить ПО до последней версии и воспользоваться индикаторами компрометации, опубликованными на нашем сайте. Их появление можно отслеживать с помощью средств сетевой защиты и мониторинга событий информационной безопасности. Это поможет оперативно выявить взлом, изолировать скомпрометированные серверы и тем самым не позволит злоумышленникам развить атаку до того момента, когда она нанесет компании реальный ущерб», – сказал Владимир Зуев, технический директор центра мониторинга и реагирования на кибератаки RED Security SOC.
Короткая ссылка
