Эксперты зафиксировали рост числа атак через уязвимость в российской ВКС-системе TrueConf

Киберпреступники начали эксплуатировать уязвимость в российской системе видеоконференцсвязи (ВКС) TrueConf, сообщили SecPost эксперты RED Security и CICADA8. По их данным, злоумышленники эксплуатируют известные уязвимости в TrueConf (BDU:2025-10114, BDU:2025-10116), опубликованные в БДУ ФСТЭК в августе этого года.

«Разработчик решения уже выпустил соответствующие обновления безопасности, однако растущее число атак данного типа свидетельствует о том, что во многих организациях до сих пор используются устаревшие версии этого ПО», – отмечают эксперты.

В исследовании RED Security и CICADA8 указано, что после эксплуатации уязвимостей киберпреступники получают доступ к удаленному выполнению команд на сервере TrueConf и проводят первичную разведку инфраструктуры. Затем они создают учетную запись локального пользователя с привилегированными правами, подключаются к командному серверу и скачивают вредоносное ПО: оно внедряется в процесс TrueConf, и таким образом злоумышленники закрепляются в инфраструктуре. После этого, говорят эксперты, хакеры могут провести полноценную разведку и определить для себя дальнейший вектор и цель атаки, будь то длительный шпионаж или быстрое шифрование данных с последующим требованием выкупа.

Продолжение ниже

«С учетом, что данный метод атаки уже активно применяется злоумышленниками, мы советуем всем пользователям TrueConf обновить ПО до последней версии и воспользоваться индикаторами компрометации, опубликованными на нашем сайте», – подчеркнул технический директор центра мониторинга и реагирования на кибератаки RED Security SOC Владимир Зуев.

По информации RED Security и CICADA8, за атаками через TrueConf стоит группировка Head Mare. В мае 2024 года Head Mare взяла на себя ответственность за взлом службы доставки СДЭК, используя вирус-шифровальщик. Компания из-за взлома остановила прием и выдачу посылок, сообщали «Ведомости».

В TrueConf сообщили SecPost, что для обеспечения безопасности работают с «Лабораторией Касперского», Positive Technologies и «Соларом» (принадлежит «Ростелекому»), а все найденные уязвимости публикуются в БДУ ФСТЭК. «Мы сделали «фиксы» для текущей мажорной версии системы, а также для двух предыдущих версий, чтобы покрытие фикса составило >99.9% всех инсталляций системы», – добавил представитель компании.

По запросу SecPost в «Контур.Закупках» посчитали, что в третьем квартале 2025 года на госзакупках было разыграно 877 тендеров на приобретение ВКС систем общей суммой в 1,23 млрд руб. Среди программ закупаются такие ВКС как «Контур.Толк», «Яндекс Телемост», «МТС Линк», TrueConf и др.

На сайте TrueConf среди проектов внедрения указаны «Ростелеком», «Ингосстрах», Минцифры, «Росатом» и другие компании, в том числе иностранные. В «Ростелекоме» сообщили, что компания своевременно обновила ПО TrueConf после публикации уязвимости, поэтому попыток взлома с её использованием зафиксировано не было.

В «Ингосстрахе» и Росатоме сообщили SecPost, что не используют софт от TrueConf. С какого именно момента – не уточнили. Представитель Росатома сообщил, что организация использует собственную ВКС систему Atom.

В Минцифре заявили, что также не используют TrueConf для рабочих переписок и межведомственного общения. «Вся инфраструктура министрества надежно защищена от киберугроз, обеспечен высокий уровень защиты от хакерских атак благодаря современным системам безопасности и круглосуточному мониторингу киберугроз», – уверяют в министерстве.

Описанный вектор атаки, безусловно, относится к категории критических, говорит директор по информационной безопасности «Яндекс 360» Игорь Вербицкий. «Любая уязвимость, позволяющая злоумышленникам выполнять произвольный код на сервере, — это ключ к инфраструктуре организации». По его словам, последствия такого взлома могут быть катастрофическими: от хищения конфиденциальных данных и интеллектуальной собственности до полного паралича бизнес-процессов.

В решении ВКС «Яндекса» («Яндекс Телемост») используется проактивный мониторинг, который по словам Вербицкого отслеживает киберугрозы, реагирует на них и снижает риски в будущем. К тому же, отмечает он, компания активно использует Bug Bounty (поиск уязвимостей с помощью пентестеров или «белых хакеров», прим SecPost). «Все это позволяет обнаруживать и устранять потенциальные проблемы до того, как их смогут использовать злоумышленники», – заключил он.