Eine Kampagne, die auf Regierungsagenturen in Südostasien abzielt, hat eine ernste Schwachstelle in TrueConfs Videokonferenz-Client genutzt, um seinen Update-Mechanismus in einen Malware-Vertriebskanal zu verwandeln. Cybersecurity-Forscher haben die Operation als TrueChaos und die Ausbeutung im nahen Zustand - Tag zeigte deutlich, wie ein Ausfall in der Integritätsprüfung eine Wartungsfunktion in eine massive Hintertür verwandeln kann.
Das Problem, das als CVE-2026-3502 identifiziert und mit einem CVSS-Score von 7.8 bewertet wird, ist, weil der TrueConf-Client den Code nicht richtig wertet, der den Update-Server herunterlädt. Dies bedeutet, dass ein Angreifer mit der Kontrolle des On-Premises-Servers einen legitimen Installer mit einem manipulierten ersetzen kann, und der Client wird es ausführen, ohne zu überprüfen, ob es geändert wurde. TrueConf löste die Schwäche in der Windows-Version 8.5.3 (erschienen Anfang dieses Monats), so dass die erste Empfehlung ist, die betroffenen Kunden so schnell wie möglich zu aktualisieren.
Nach der öffentlichen Analyse der Untersuchung hätten die Schauspieler, die TrueChaos aktiviert hätten, diesen Vektor verwendet, um einen böswilligen Installer bereitzustellen, der mittels DLL-Seitenladetechniken ein dynamisches Implantat namens "7z-x64.dll" geladen hat. Dieses Modul zeigte ein aktives Intrusionsverhalten: Umgebungserkennung, Persistenzeinrichtung und zusätzliche Lastentladung von einem identifizierten FTP-Server (47.237.15 [.] 197). Die beobachteten Artefakte umfassen eine zweite Komponente, "issiexe.dll", deren offensichtlicher Zweck es war, die Ausführung einer anerkannten legitimen binären ("poweris.exe"), um die Hintertür zu laden. Obwohl der endgültige Zustand des Angriffs nicht mit absoluter Präzision bekannt ist, weisen die Analysen mit hoher Wahrscheinlichkeit auf die Umsetzung des Havoc-offen Kontroll- und Kontrollrahmens hin.
Die Kampagne wurde mit mäßigem Vertrauen zu einem chinesischen Link-Akteur für die Kombination von Taktiken und Artefakten verwandt: Wiederverwendung von Infrastruktur in Alibaba Cloud und Tencent, Verwendung von DLL-Seitenladung als Ladetechnik, und vorübergehende Übereinstimmung mit Versuchen gegen das gleiche Opfer über ShadowPad, eine Hintertür mit einer Geschichte von Intrusionen zu Gruppen von chinesischer Herkunft. ShadowPad wurde bereits im Detail von Sicherheitsfirmen dokumentiert und ist eine gute Erinnerung daran, wie anspruchsvolle Gruppen Werkzeuge und Vektoren kombinieren, um Skalenbindungen zu erreichen; eine gute technische Zusammenfassung von ShadowPad kann in der ESET-Analyse dieser Backdoors-Familie gesehen werden ( WeLiveSecurity - ShadowPad)
Was TrueChaos besonders gefährlich macht, ist nicht so sehr die individuelle Raffinesse jedes Artefaktes, sondern die operative Einfachheit: es war nicht notwendig, jeden Arbeitsplatz getrennt zu beauftragen. Durch das Kompromieren des zentralen Servers von TrueConf verwandelten die Angreifer die Kette von Updates - eine Vertrauensbeziehung zwischen Server und Client - in ein automatisches Verteilungssystem von schädlichem Code zu angeschlossenen Netzwerken.
Um die verwendete Technik zu verstehen, sollten Sie sich erinnern, was DLL Side-loading ist: viele Anwendungen laden dynamische Bibliotheken ohne Angabe absoluter Routen, die einem Angreifer erlaubt, eine DLL mit dem gleichen Namen in einem Ort, an dem die Anwendung vertraut und unbeabsichtigt hochladen. MITRE dokumentiert diese Technik und ihre Varianten und bietet einen nützlichen Leitfaden für Erkennung und Minderung ( ATT & CK - DLL Side-Loading)
Wenn Ihre Organisation TrueConf verwendet und einen On-Premises-Server verwaltet, sind dies praktische und prioritäre Aktionen: Aktualisieren von Windows-Kunden auf Version 8.5.3 oder höher, überprüfen Sie die Integrität und den Zugriff auf den Update-Server, untersuchen Sie, ob es Artefakte mit den beobachteten Namen ("7z-x64.dll,"issiexe.dll," "poweris.exe") gibt und suchen Sie nach ausgehenden Verbindungen oder Transfers von / zu dem angegebenen IP (47.7). Es wird auch empfohlen, Anmeldeinformationen, Auditkonten mit Privilegien über den TrueConf Server zu drehen und die Protokolle für ungewöhnliche Downloads oder Änderungen in Update-Paketen zu überprüfen.
Neben den spezifischen Maßnahmen erinnert dieser Vorfall an eine umfassendere Unterrichtung über die Softwaresicherheit: die Aktualisierungsmechanismen müssen solide Integrität und Authentizitätskontrollen enthalten(digitale Signaturen, validierte Hash-Checks und sicherer Transport) und die Infrastruktur, die Software verteilt, müssen insbesondere isoliert und überwacht werden. CISA und andere Agenturen haben Leitlinien zur Stärkung der Software-Versorgungskette und zum Schutz der Aktualisierungsprozesse veröffentlicht; diese Anleitung ist besonders nützlich für Führungskräfte, die für kritische Dienste zuständig sind ( CISA - Lieferkette Sicherheit)
Für Erkennungs- und Antwortteams ist es angezeigt, Regeln und Suchanfragen an Kampagnen-assoziierte Muster anzupassen: Laufen unerwartete Installateure, Laden von DLL-Bibliotheken mit legitimen Prozess verdächtige Namen, FTP-Aktivität auf ungewöhnliche externe Richtungen und die Schaffung von Persistenz durch scheinbar harmlose Binaries. Schwachstellendatenbanken und zentrale technische Dokumentationen (z.B. NVD und MITRE) sind nützliche Ressourcen, um Indikatoren zu korrelieren und die Minderung zu priorisieren ( NVD - Nationale Schwachstelle Datenbank)
Die öffentliche Forschung über TrueChaos verstärkt die immer häufigere Erzählung, dass das implizite Vertrauen in Infrastrukturteile genutzt werden kann, um massiven Zugang zu erhalten. Ein einzelner unbehandelter Server kann Hunderte von kompromittierten Stationen bedeuten, wenn das Betriebssystem davon ausgeht, dass Updates immer "in gutem Glauben" kommen. Die Schlussfolgerung ist klar: Die Wartung und Sicherheit der Aktualisierungssysteme muss mit der gleichen Priorität behandelt werden wie der Schutz der Endpunkte selbst. Weitere Informationen über die Schwachstellenanalyse und die Kampagne finden Sie in den von den Forschungsteams veröffentlichten spezialisierten Quellen und technischen Materialien, die die Bedrohung überwachen, ausgehend von den Sicherheitslabors und den offiziellen Ausschreibungen des Lieferanten.
Referenzlinks: allgemeine Forschungsseite von Check Point ( Checkpoint Research), die offizielle Website von TrueConf ( In den Warenkorb), Dokumentation über DLL Sideload in MITRE ATT & CK ( MITRE ATT & CK), Ressourcen für die Versorgungskettensicherheit in CISA ( CISA) und eine historische Analyse von ShadowPad von ESET ( WeLiveSecurity)
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...