Хактивисты атакуют российские НИИ и транспорт через подмену дистрибутивов ВКС-системы TrueConf
С декабря 2025 года группировка Head Mare атакует российские научные и энергетические организации, используя бэкдор PhantomPxPigeon. В ходе новой волны атак злоумышленники скомпрометировали серверы TrueConf в транспортной и научной сферах, подменив клиентские дистрибутивы на вредоносные. Организациям рекомендуется проверить подлинность дистрибутивов и установить актуальные версии серверного ПО.
Специалисты компании «Лаборатории Касперского» обнаружили вредоносную кампанию группировки Head Mare, активную как минимум с декабря 2025 года. Жертвами стали образовательные, научные учреждения и организации энергетического сектора в России. Злоумышленники рассылали пользователям приглашения на видеоконференции, содержащие вредоносные ссылки. Пользователю предлагалось установить сервис для подключения к звонку, однако в процессе установки на устройство попадал ранее неизвестный бэкдор, получивший название PhantomPxPigeon.
Ранее SecPost писал о том, что российские компании подвергались атакам через необновленные системы видеоконференцсвязи TrueConf.
В настоящее время специалисты фиксируют новую волну активности. Как указывается в материале компании, обнаружен ряд скомпрометированных серверов TrueConf в транспортной отрасли, а также в научных и образовательных учреждениях. Дистрибутивы клиентского приложения, которые пользователи скачивали с этих серверов, были подменены на вредоносные, что могло привести к заражению других организаций, сотрудники которых устанавливали ПО.
Точный вектор атаки, послуживший причиной к подмене файлов на серверах, пока не установлен. Предположительно, злоумышленники могли использовать уязвимость BDU:2025-10116, которая была исправлена вендором в августе 2025 года. В связи с этим организациям, использующим ПО TrueConf, рекомендуется установить актуальную версию сервера в соответствии с указаниями производителя.
Кроме того, необходимо проверить подлинность клиентских дистрибутивов, загружаемых с внутрикорпоративных серверов TrueConf. Как отмечают специалисты «Лаборатории Касперского», обнаруженные вредоносные инсталляторы не имеют действительной цифровой подписи TrueConf. Проверить подлинность можно на официальном сайте производителя.
Ранее SecPost писал о том, что хактивисты Head Mare атакует российские организации с помощью бэкдора PhantomHeart.
Читайте также
