Хабр, привет! На связи Алина Байрамова, аналитик-исследователь угроз кибербезопасности R‑Vision.

В этой статье я разберу уязвимость нулевого дня в TrueConf Server (CVE-2026-3502), связанную с механизмом обновлений, и то, как она может быть использована для компрометации изолированных инфраструктур через доверенный канал распространения ПО.

Изолированная инфраструктура часто воспринимается как синоним доверенной среды. Особенно это заметно в госсекторе и на объектах КИИ, где внутренние сервисы разворачиваются в закрытых сегментах и получают статус «безопасных по умолчанию». Однако именно такие компоненты нередко становятся наиболее интересными с точки зрения атакующей модели.

TrueConf Server — типичный пример подобного класса решений. Это on-premise платформа видеоконференцсвязи, работающая внутри LAN и широко используемая в сетях без прямого доступа в интернет. В таких условиях она становится частью доверенного контура, а механизмы взаимодействия с ней редко подвергаются дополнительной валидации.

31 марта 2026 года компания Check Point Research обнаружила уязвимость нулевого дня в клиентском приложении TrueConf (CVE-2026-3502, CVSS 7.8). Проблема связана с механизмом проверки обновлений и при определённых условиях позволяет атакующему, имеющему контроль над локальным сервером TrueConf, распространять и выполнять произвольные файлы на подключенных клиентах.

Ключевой момент заключается в том, что эксплуатация не требует выхода за пределы периметра. Достаточно компрометации сервера внутри сети. В таком случае механизм обновления фактически превращается в доверенный канал доставки кода.

Именно этот подход был использован в рамках операции TrueChaos, нацеленной на государственные организации стран Юго-Восточной Азии. Атакующие злоупотребляли механизмом обновлений для распространения вредоносного ПО, опираясь на отсутствие строгой проверки подлинности обновлений.

В результате внутренний доверенный сервис становится точкой масштабной компрометации инфраструктуры.

Поверхность атаки

По результатам поиска по запросу trueconf server в Shodan было обнаружено около 560 доступных хостов, из которых 263 находятся на территории России.

При этом следует учитывать, что фактические масштабы применения могут оказаться более значительными.. Часть серверов развёрнута в полностью изолированных сегментах и недоступна для внешнего сканирования.

В таких условиях компрометация одного сервера может приводить к распространению вредоносного кода на все подключённые клиентские устройства. Ниже рассмотрен типовой сценарий эксплуатации уязвимости, зафиксированный в рамках операции TrueChaos.

Сценарий эксплуатации

1. Атакующий получает доступ к серверу TrueConf.

2. На сервере размещается вредоносное обновление.

3. Пользователь запускает клиент TrueConf.

4. Клиент обнаруживает новую версию и предлагает обновление.

5. Вместе с легитимным исполняемым файлом загружается вредоносная DLL.

6. Происходит загрузка подменённой библиотеки (DLL hijacking) и выполнение вредоносного кода.

7. Атакующий закрепляется в системе и может выполнять дальнейшие действия (разведка, загрузка инструментов).

Как работает механизм обновления

При запуске клиент TrueConf проверяет доступность обновлений на подключённом сервере. Если версия клиента на сервере выше установленной, пользователю предлагается загрузить обновление по определенному адресу: https://{trueconf_server}/downloads/trueconf_client.exe

 Сами же файлы обновления хранятся локально в директории сервера TrueConf:

C:\Program Files\TrueConf Server\ClientInstFiles\

Таким образом, сервер выступает доверенным источником обновлений.

В документации к продукту, вендор указывает, что есть способ обновления клиента, без переустановки сервера. Ниже описывается процесс ручного обновления клиента.

Достаточно переименовать файл в ожидаемый формат, увеличить версию клиента и разместить файлы клиентов в директориях - C:\Program Files\TrueConf Server\ClientInstFiles, /opt/trueconf/server/srv/clients/.

При получении новой версии клиент не выполняет проверку целостности или подлинности файла, полностью доверяя обновлению, предоставленному сервером. Это и создаёт возможность для эксплуатации уязвимости и распространения вредоносного кода.

Практика: подмена клиента и доставка C2 агента

Проверим на практике: для этого в качестве полезной нагрузки воспользуемся в качестве демонстрации агент удалённого управления Mythic (C2) - Apollo. Важно отметить, что в реальной атаке на этом этапе может использоваться любой исполняемый файл — от загрузчика до полноценного фреймворка постэксплуатации. В кампании TrueChaos применялся Havoc C2.

При следующем запуске клиента, пользователю будет предложено обновить программу на актуальную:

При нажатии кнопки «Загрузить» пользователь перенаправляется на страницу скачивания новой версии приложения.

На этом этапе пользователь получает исполняемый файл обновления и запускает его вручную.

С точки зрения пользователя процесс выглядит полностью легитимно: 

• отображается уведомление об обновлении;

• выполняется загрузка файла;

• пользователь запускает установщик, предполагая его подлинность и доверенное происхождение, несмотря на возможность подмены содержимого.

Однако в этот момент может выполняться произвольный код, который запускается параллельно с легитимным процессом установки. Это позволяет маскировать вредоносную активность под штатное обновление.

В ряде случаев Microsoft SmartScreen может предупреждать о том, что файл не имеет действительной цифровой подписи, и запрашивать подтверждение запуска.

После подтверждения запуска может появляться окно cmd.exe, за которым следует нетипичная последовательность процессов.

Анализ цепочки процессов

Процесс trueconf_windows_update.exe представляет собой загруженную полезную нагрузку. При этом метаданные исполняемого файла также могут быть изменены, что затрудняет его идентификацию. Дочерний процесc conhost.exe в данном случае используется агентом для выполнения команд, поступающих от сервера управления.

В процессе запуска клиента создается временный процесс который обычно выглядит так: trueconf_windows_client_x64_TC0IC9oIDEwLjE1MC41MC42OjQzMDcsMTkyLjE2OC41Ni4xOjQzMDcgL2xmICAvcyAzOTVi (1).exe. Он создает временный процесс с таким же названием, но с расширением tmp.

Цепочка процессов запуска клиента на стороне жертвы выглядит следующим образом:

explorer.exe (PID 10144)   
     ├── trueconf.exe (PID 18144)   
     │   └── trueconf_windows_update.exe (PID 20048)   
     │       └── conhost.exe (PID 21104)   
     │   
     └── trueconf_windows_client_x64_*.exe (PID 4264)   
         └── trueconf_windows_client_x64_*.tmp (PID 11292)

Процесс conhost.exe (PID 21104) в данном сценарии выступает как вспомогательный процесс консольного взаимодействия, используемый внедрённой полезной нагрузкой. В реальных условиях на этом этапе может выполняться любой другой процесс.

Вторая ветка процессов представляет собой временные объекты установщика клиента TrueConf и существует ограниченное время в рамках процедуры обновления, после чего удаляется или завершается.

Перейдя в консоль управления Mythic C2, можно наблюдать активные соединения от агента Apollo, развернутого на хосте жертвы вместо легитимного клиента TrueConf. В итоге хост уже скомпрометирован, а пользователь об этом даже не догадывается.

Анализ артефактов

После установки соединения в телеметрии хоста фиксируется цепочка сетевой активности.

В этом сценарии событие Sysmon EventID 22 фиксирует DNS-запросы, инициированные процессом trueconf_windows_update.exe.

Log Name:      Microsoft-Windows-Sysmon/Operational
Source:        Microsoft-Windows-Sysmon
Date:          2026-04-10 16:25:41
Event ID:      22
Task Category: Dns query (rule: DnsQuery)
Level:         Information
User:          SYSTEM
Computer:      laba01.test.org

Description:
Dns query:

RuleName:      -
UtcTime:       2026-04-10 13:23:19.519
ProcessGuid:   {1246d6be-fa53-69d8-3c10-090000008300}
ProcessId:     13060
QueryName:     zmxncbv019283.biz
QueryStatus:   0
QueryResults:  type: 1 ::ffff:103.149.82.47
Image:         C:\Users\username\AppData\Local\Temp\4\trueconf_windows_update.exe
User:          TEST\username

На данном этапе происходит разрешение домена, используемого для подключения к инфраструктуре управления. Нужно обращать внимание на подозрительные запросы к доменам, которые не принадлежат развернутым в инфраструктуре серверам TrueConf или не они не относятся к публичным сервисам TrueConf (например, trueconf.name или trueconf.ru). Это хороший признак компрометации, при условии, что атакующем нужны подключения к своим сервисам для дальнейшего развития атаки, а не просто выполнить код произвольный. 

Sysmon/Operational - EventID 3 (NetworkConnect)

Событие Sysmon EventID 3 фиксирует исходящее сетевое соединение, инициированное процессом trueconf_windows_update.exe:

Также на хосте будут присутствовать сетевые подключения к серверу TrueConf Server, откуда был скачан установочный файл.

Log Name:      Microsoft-Windows-Sysmon/Operational
Source:        Microsoft-Windows-Sysmon
Date:          2026-04-10 15:16:27
Event ID:      3
Task Category: Network connection detected (rule: NetworkConnect)
Level:         Information
User:          SYSTEM
Computer:      laba01.test.org

Description:
Network connection detected:

RuleName:      -
UtcTime:       2026-04-10 12:14:05.008
ProcessGuid:   {1246d6be-ea0d-69d8-840d-090000008300}
ProcessId:     6916
Image:         C:\Program Files\TrueConf\Client\TrueConf.exe
User:          TEST\username
Protocol:      tcp
Initiated:     true
SourceIsIpv6:  false
SourceIp:      10.150.50.20
SourceHostname:-
SourcePort:    49569
SourcePortName:-
DestinationIsIpv6: false
DestinationIp: 10.150.50.6
DestinationHostname:-
DestinationPort: 4307
DestinationPortName:-
```

Сетевое соединение само по себе не является аномалией для обновляющего компонента. Ключевым фактором является не сам факт подключения, а контекст его установления: использование внешнего IP-адреса, не относящегося к инфраструктуре TrueConf, либо адреса с подозрительной репутацией, а также то, что инициатором соединения выступает процесс обновления.

Sysmon/Operational - EventID 7 (ImageLoad)

Sysmon EventID 7 позволяет отслеживать загрузку исполняемых модулей и анализировать их происхождение, включая информацию о цифровой подписи.

В сценарии установки клиента TrueConf этот тип событий помогает различать легитимные и потенциально подменённые бинарные файлы.

Log Name:      Microsoft-Windows-Sysmon/Operational    
     Source:        Microsoft-Windows-Sysmon    
     Date:          4/13/2026 9:21:19 AM    
     Event ID:      7    
     Task Category: Image loaded (rule: ImageLoad)    
     Level:         Information    
     Keywords:          
     User:          SYSTEM    
     Computer:      trueconf.test.org    
     Description:    
     Image loaded:    
     RuleName: -    
     UtcTime: 2026-04-13 06:21:17.701    
     ProcessGuid: {e05f87bf-8b5c-69dc-d54f-010000001e00}    
     ProcessId: 3120    
     Image: C:\Users\username\Downloads\trueconf_client_x64.exe    
     ImageLoaded: C:\Users\username\Downloads\trueconf_client_x64.exe    
     FileVersion: 8.5.3.884               
     Description: TrueConf Setup                                                  
     Product: TrueConf                                                        
     Company: TrueConf                                                        
     OriginalFileName:                                                       
     Hashes: SHA1=88E6EEF506072E56B119E5C3448A0AF6D023C7DC,MD5=0C42A6328D3DD021ECFED3CDD96B47A8,SHA256=B744F8BFFAE7D5CA07ED5A981E86906630CBF826781A7AB5298BA84043C3FE9D,IMPHASH=E569E6F445D32BA23766AD67D1E3787F    
     Signed: true    
     Signature: trueconf llc    
     SignatureStatus: valid    
     User: TEST\username  

В нормальном сценарии загрузка установочного файла выглядит следующим образом:

  Image: C:\Users\username\Downloads\trueconf_client_x64.exe      
     Signed: true      
     Signature: TRUECONF LLC      
     SignatureStatus: Valid    

Модифицированный бинарный файл как раз таки такой подписи иметь не будет:

 Log Name:      Microsoft-Windows-Sysmon/Operational    
     Source:        Microsoft-Windows-Sysmon    
     Date:          4/10/2026 4:16:11 PM    
     Event ID:      7    
     Task Category: Image loaded (rule: ImageLoad)    
     Level:         Information    
     Keywords:          
     User:          SYSTEM    
     Computer:      laba01.test.org    
     Description:    
     Image loaded:    
     RuleName: -    
     UtcTime: 2026-04-10 13:16:11.532    
     ProcessGuid: {1246d6be-f81b-69d8-f30f-090000008300}    
     ProcessId: 11292    
     Image: C:\Users\username\Downloads\trueconf_windows_client_x64.exe    
     ImageLoaded: C:\Users\username\Downloads\trueconf_windows_client_x64.exe    
     FileVersion: 1.0.0.0    
     Description: Apollo    
     Product: Apollo                                                        
     Company: -                                                        
     OriginalFileName: Apollo.exe                                                      
     Hashes: SHA1=54BAB4FEFF6B0B9FA7B0B03523988703C40002E3,MD5=7AD3F0CCD2616E26F32C4871CE5F3A26,SHA256=E2AA85FF998858050C3A65D82ABE6C117E7B03A1F732378476D43DD5932B4A1B,IMPHASH=F34D5F2D4577ED6D9CEEC516C1F5A744    
     Signed: false    
     Signature: -    
     SignatureStatus: Unavailable    
     User: TEST\username   

Хотя структура имени и метаданные могут имитировать легитимный установщик, отсутствие цифровой подписи является ключевым отличием.

Событие Sysmon Event ID 7 можно использовать как быстрый ориентир доверенного происхождения бинарного файла, на который следует обратить внимание.  

Sysmon/Operational - EventID 11 (FileCreate)

Что касается действий на сервере TrueConf, то индикатором подмены установочных файлов является событие Sysmon EventID 11 фиксирующее создание новых файлов в файловой системе.

Log Name:      Microsoft-Windows-Sysmon/Operational    
     Source:        Microsoft-Windows-Sysmon    
     Date:          4/10/2026 3:45:31 PM    
     Event ID:      11    
     Task Category: File created (rule: FileCreate)    
     Level:         Information    
     Keywords:          
     User:          SYSTEM    
     Computer:      trueconf.test.org    
     Description:    
     File created:    
     RuleName: -    
     UtcTime: 2026-04-10 12:45:31.681    
     ProcessGuid: {e05f87bf-d211-69bb-c200-000000001e00}    
     ProcessId: 8892    
     Image: C:\Windows\Explorer.EXE    
     TargetFilename: C:\Program Files\TrueConf Server\ClientInstFiles\trueconf_windows_client_x64.exe    
     CreationUtcTime: 2026-04-10 12:45:40.401    
     User: TEST\username   

Также наряду с Sysmon, генерируется аналогичное событие EventID 4663 - An attempt was made to access an object  журнала Security фиксирующее доступ к файловому объекту:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          2026-04-15 10:04:27
Event ID:      4663
Task Category: Removable Storage
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      trueconf.test.org

Description:
An attempt was made to access an object.

Subject:
  Security ID:   TEST\username
  Account Name:  username
  Account Domain:TEST
  Logon ID:      0xF9D52

Object:
  Object Server:      Security
  Object Type:        File
  Object Name:        C:\Program Files\TrueConf Server\ClientInstFiles\trueconf_client_x64.exe
  Handle ID:          0x20cc
  Resource Attributes:S:AI(RA;;;;;WD;("IMAGELOAD",TU,0x0,1))

Process Information:
  Process ID:   0x22bc
  Process Name: C:\Windows\explorer.exe

Access Request Information:
  Accesses: WriteData (or AddFile)

Обращаем внимание на тип операции, указанный в поле Accesses: WriteData (or AddFile) (маска доступа 0x2).

Данный тип доступа соответствует созданию или записи файла, что в контексте каталога ClientInstFiles может указывать на подмену или размещение установочного файла клиента.

В штатном режиме в каталоге ClientInstFiles появляются только легитимные установочные пакеты, загружаемые в рамках процесса обновления клиентов TrueConf.

Появление новых или изменённых файлов в этой директории может указывать на один из сценариев:

• штатное обновление клиентского пакета

• административное изменение установочных файлов

• компрометация сервера и подмена дистрибутива

Ограничения детектирования и проблемы корреляции

При построении детекта важно учитывать ряд ограничений, которые напрямую влияют на качество корреляции и количество ложных/пропущенных срабатываний.

1. Манипуляции с именем файла и цепочкой создания

Если в директорию ClientInstFiles сначала помещается файл с произвольным именем (например, Apollo.exe), а затем переименовывается в ожидаемое (trueconf_windows_client_x64.exe), то Sysmon EventID 11 зафиксирует создание исходного файла, а не итогового имени.

Это снижает эффективность детектирования, основанного только на имени объекта, и требует либо:

• мониторинга всех файлов в целевой директории,

• либо более сложной корреляции с учётом жизненного цикла объекта.

При этом первый подход увеличивает уровень шумов и число ложных срабатываний в легитимных сценариях обновления.

2. Временной разрыв между подменой файлов и их запуском пользователем

Ключевое ограничение связано с тем, что события размещения файла на сервере (Sysmon EventID 11) и его последующего выполнения на клиентских системах (Sysmon EventID 7) могут быть разделены значительным временным интервалом.

Причины:

• пользователь может игнорировать уведомление об обновлении;

• сервер мог быть скомпрометирован задолго до появления первых клиентских запусков.

В результате выбор корректного окна корреляции становится нетривиальной задачей:

• слишком короткое окно приводит к пропуску реальных инцидентов;

• слишком длинное окно увеличивает вероятность ложных корреляций с легитимными изменениями и обновлениями и также дает нагрузку на коррелятор.

Правила детектирования в R-Vision SIEM

Для R-Vision SIEM целесообразно разделять логику на два независимых правила:

• детект изменений в каталоге ClientInstFiles (Sysmon EventID 11 и Security EventID 4663) - как сигнал потенциальной компрометации сервера;

• детект запуска неподписанных или подозрительных установщиков на клиентах (Sysmon EventID 7) - как индикатор фактической эксплуатации.

Такой подход учитывает случаи, когда установочный файл распространяется через сторонние каналы — например, через фишинг или ссылки на внешние ресурсы.

Заключение

Рассмотренный сценарий с TrueConf показывает, что доверенный механизм обновлений при компрометации сервера может использоваться как канал массового распространения вредоносного кода внутри инфраструктуры.

При этом выявление такой активности требует наблюдения сразу на двух уровнях - серверном и клиентском.

Ключевые индикаторы компрометации:

• появление или изменение файлов в каталоге ClientInstFiles (Sysmon EventID 11);

• запуск установочных файлов на клиентских системах с отсутствующей или некорректной цифровой подписью (Sysmon EventID 7);

• сетевые соединения процессов обновления (trueconf_windows_update.exe) с внешними или нетипичными для инфраструктуры IP-адресами (Sysmon EventID 3);

• DNS-запросы от процесса обновления к доменам, не относящимся к инфраструктуре TrueConf (Sysmon EventID 22).

Обновление безопасности

Описанная уязвимость уже была устранена вендором. По данным официальных security-обновлений TrueConf, проблема затрагивала предыдущие версии серверной и клиентской части и была исправлена в рамках обновлений 2026 года. Рекомендуется использовать актуальные версии продукта TrueConf Server (в частности, линейку 5.5.2/5.4.8/5.3.8 в зависимости от ветки).

Рекомендую использовать актуальные версии TrueConf и поддерживать инфраструктуру в состоянии регулярного обновления, чтобы исключить возможность эксплуатации уже известных уязвимостей.