TrueConf 零日漏洞在针对东南亚政府网络攻击中被利用
嗯,用户让我帮忙总结一篇文章,控制在100字以内,而且不需要用“文章内容总结”这样的开头。首先,我需要仔细阅读这篇文章,理解其主要内容。 文章讲的是TrueConf视频会议软件中的一个严重安全漏洞,编号CVE-2026-3502,CVSS评分7.8。这个漏洞被用于针对东南亚政府机构的攻击活动,称为“TrueChaos”。攻击者利用了更新机制中的漏洞,分发篡改后的更新包,导致任意代码执行。漏洞在TrueConf Windows客户端8.5.3版本中已经修复。 Check Point的报告指出,攻击者通过控制本地服务器分发恶意文件,利用DLL侧加载启动后门,并部署Havoc框架。攻击活动在2026年初被记录到。 用户的需求是简明扼要地总结内容,所以我要抓住关键点:漏洞名称、影响、攻击方式、后果以及修复情况。 现在组织语言,确保在100字以内。可能的结构是:漏洞名称和评分、影响范围、攻击方式(篡改更新)、后果(恶意代码执行)、修复版本以及攻击目标。 最后检查是否符合要求:不使用特定开头语句,控制字数。 </think> TrueConf视频会议软件存在严重漏洞(CVE-2026-3502),CVSS评分7.8。该漏洞被用于针对东南亚政府机构的"TrueChaos"攻击活动。攻击者通过篡改软件更新分发恶意代码,导致任意代码执行。TrueConf已修复该漏洞于8.5.3版本中。 2026-4-1 03:5:5 Author: hackernews.cc(查看原文) 阅读量:4 收藏

HackerNews 编译,转载请注明出处:

TrueConf 客户端视频会议软件中一个严重安全漏洞,在名为 “TrueChaos” 的针对东南亚政府机构的攻击活动中,被作为零日漏洞在实际中利用。

该漏洞编号为 CVE – 2026 – 3502(通用漏洞评分系统 CVSS 得分为 7.8),是在获取应用程序更新代码时缺乏完整性检查,攻击者借此可分发篡改后的更新,从而导致任意代码执行。本月早些时候发布的 TrueConf Windows 客户端 8.5.3 版本起已修复此漏洞。

Check Point 在今日发布的一份报告中称:“该漏洞源于对 TrueConf 更新验证机制的滥用,攻击者若控制本地 TrueConf 服务器,就能在所有连接的端点上分发并执行任意文件。”

换句话说,成功控制本地 TrueConf 服务器的攻击者,可将更新包替换为含恶意代码的版本,由于客户端应用程序对服务器提供的更新未进行充分验证以确保未被篡改,就会下载该恶意更新包。

已发现 “TrueChaos” 攻击活动利用更新机制中的这一漏洞,很可能将开源的 Havoc 命令与控制(C2)框架部署到易受攻击的端点。

这家网络安全公司在 2026 年初首次记录到利用该漏洞的攻击,客户端对更新机制的信任被利用,推送了恶意安装程序,进而通过 DLL 侧加载启动 DLL 后门。

研究还观察到,DLL 植入程序(“7z – x64.dll”)会执行手动操作进行侦察、设置持久化,并从 FTP 服务器(“47.237.15 [.] 197”)检索其他有效载荷(“iscsiexe.dll”)。“iscsiexe.dll” 的主要目的是确保执行一个良性二进制文件(“poweriso.exe”),通过该文件侧加载后门程序。

尽管此次攻击最终阶段所投放的确切恶意软件尚不清楚,但可以高度确信,其最终目标是部署 Havoc 植入程序。

Check Point 表示:“利用 CVE – 2026 – 3502 漏洞,攻击者无需逐个入侵每个端点。相反,攻击者滥用了本地中央 TrueConf 服务器与其客户端之间的信任关系。通过将合法更新替换为恶意更新,他们把产品的正常更新流程变成了跨多个相连政府网络的恶意软件分发渠道。”

消息来源:thehackernews.com

本文由 HackerNews.cc 翻译整理,封面来源于网络;

转载请注明“转自 HackerNews.cc”并附上原文


文章来源: https://hackernews.cc/archives/63997
如有侵权请联系:admin#unsafe.sh