Доверенное обновление как вектор атаки: разбираем Operation TrueChaos и защиту от supply-chain угроз

31 марта 2026 года Check Point Research опубликовала отчёт о кампании Operation TrueChaos. Злоумышленники нашли ранее неизвестную уязвимость нулевого дня в системе видеоконференцсвязи TrueConf и через неё проникли в сети государственных учреждений Юго-Восточной Азии. Уязвимость получила идентификатор CVE-2026-3502  (BDU:2026-04546 по БДУ ФСТЭК), оценку CVSS 7.8 (High).

TrueConf - on-premise решение для ВКС, популярное в России в госсекторе и корпоративной среде. Обновления клиентов раздаёт внутренний сервер, расположенный в контролируемой инфраструктуре организации. Именно этот механизм доверия становится точкой входа: получив контроль над сервером обновлений, атакующие смогли доставить вредоносный код на рабочие станции в обход любых наложенных средств защиты.

Ниже разберём полную цепочку атаки - от компрометации до закрепления. Рассмотрим индикаторы компрометации, атрибуцию и предложим конкретные меры защиты. Отдельно поговорим о более широкой тенденции: supply-chain атаки через внутренние каналы доставки превращаются в системную угрозу, а TrueConf - лишь последний пример после SolarWinds и 3CX.

Что произошло: Operation TrueChaos

В начале 2026 года аналитики Check Point Research зафиксировали серию целенаправленных атак на правительственные учреждения в Юго-Восточной Азии. Вектор проникновения не был связан ни с фишингом, ни с эксплуатацией веб-уязвимостей. Атакующие воспользовались механизмом внутреннего обновления TrueConf Client - корпоративной ВКС, развёрнутой жертвами на собственных серверах.

Корень проблемы - уязвимость CVE-2026-3502 (CWE-494: Download of Code Without Integrity Check). Клиент TrueConf для Windows версий 8.1.0–8.5.2 не проверял криптографическую целостность файлов обновлений, загружаемых с внутреннего сервера. Проще говоря, любой, кто получал контроль над сервером TrueConf, мог подменить установочные файлы - а клиенты без вопросов ставили вредоносное ПО вместо штатного обновления.

Хронология

• Январь–февраль 2026 - атакующие получают доступ к on-premise серверу TrueConf в сети жертвы и подменяют файлы обновлений.

• Март 2026 - Check Point Research обнаруживает кампанию и уведомляет TrueConf; выходит версия 8.5.3, закрывающая уязвимость.

• 31 марта 2026 - Check Point Research публикует технический отчёт.

• 3 апреля 2026 - ФСТЭК добавляет BDU:2026-04546 в банк данных угроз.

Цепочка атаки: от доверия до бэкдора

Разбор kill chain Operation TrueChaos показывает, насколько продуманным был подход. Каждый этап выстроен так, чтобы максимально использовать доверенные системные механизмы и не вызвать подозрений.

Этап 1. Компрометация сервера обновлений

Как именно атакующие получили первоначальный доступ к серверу, Check Point Research не раскрывает. Сервер управлялся IT-отделом государственного учреждения и находился во внутренней сети. Злоумышленники подменили файл обновления trueconf_client.exe вредоносным инсталлятором на базе Inno Setup.

Этап 2. Доставка вредоносного payload

Когда клиенты TrueConf обращались к серверу за обновлением, они получали троянизированный установщик trueconf_windows_update.exe. Важный момент: инсталлятор действительно устанавливал легитимное обновление TrueConf, так что пользователь ничего подозрительного не видел. Параллельно установщик извлекал:

• poweriso.exe - легитимный исполняемый файл PowerISO, копируемый в C:\ProgramData\PowerISO\

• 7z-x64.dll - вредоносную библиотеку, помещённую рядом с poweriso.exe для DLL sideloading

Этап 3. DLL sideloading и первичный имплант

При запуске poweriso.exe подхватывал вредоносную 7z-x64.dll вместо легитимной библиотеки - классический DLL sideloading (T1574.002 по MITRE ATT&CK). В библиотеке находился имплант фреймворка Havoc C2 - open-source инструмента для постэксплуатации, который преобретает популярность у APT-групп как альтернатива Cobalt Strike.

Havoc-имплант выполнял:

1. Разведка: команды tasklist и tracert 8.8.8.8 для сбора информации о среде.

2. Загрузка второго этапа: обращение через curl к FTP-серверу 47.237.15.197, скачивание архива update.7z в %AppData%\Roaming\Adobe\.

3. Извлечение: распаковка архива через WinRAR - на выходе iscsiexe.dll и rom.dat.

Этап 4. Повышение привилегий и UAC bypass

Здесь атакующие применили изящный приём обхода UAC. Через ключ реестра HKCU\Environment они модифицировали переменную PATH, добавив путь к каталогу с вредоносной iscsiexe.dll. Дальше - запуск штатной утилиты iscsicpl.exe из SysWOW64: у неё есть флаг auto-elevation, и она запускается с повышенными привилегиями без запроса UAC. Система подгружала вредоносную DLL вместо системной через DLL search-order hijacking.

Этап 5. Закрепление и C2

Для персистентности использовался ключ реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run\UpdateCheck, указывающий на poweriso.exe. Имплант поддерживал постоянное соединение с серверами Havoc C2 на IP-адресах в облаках Tencent и Alibaba.

Вся цепочка - от получения обновления до полного контроля - проходила практически незаметно: легитимный установщик, подписанные исполняемые файлы, системные утилиты для повышения привилегий. Для пользователя и стандартного антивируса или EDR всё выглядело как обычная работа.

Атрибуция

Check Point Research связывает атакующих с китайским nexus с умеренной степенью уверенности. Вывод основан на нескольких сходящихся признаках:

• Инфраструктура: Alibaba Cloud и Tencent Cloud для C2-серверов - характерный почерк китайскоязычных APT-групп.

• Тактики: DLL sideloading через подписанные исполняемые файлы - один из самых устойчивых TTP, ассоциируемых с китайскими группировками (кластеры ShadowPad, Winnti).

• Выбор жертв: госучреждения Юго-Восточной Азии - традиционная зона интересов кибершпионажа, связанного с КНР.

• Инструментарий: фреймворк Havoc C2 ранее применяла группа, известная как Amaranth Dragon.

Атрибуция в кибербезопасности - всегда вероятностная оценка. Но совокупность инфраструктурных, тактических и виктимологических признаков достаточно уверенно указывает на группы, работающие в интересах государственных структур КНР. Впрочем, дальше такие техники могут применять уже «коммерческие» хакерские команды.

Индикаторы компрометации

Ниже - ключевые IOC из отчёта Check Point Research. Рекомендуем использовать их для проверки инфраструктуры и настройки правил детектирования.

Хеши файлов (MD5)

Файл	MD5
trueconf_windows_update.exe	22e32bcf113326e366ac480b077067cf
iscsiexe.dll	9b435ad985b733b64a6d5f39080f4ae0
7z-x64.dll	248a4d7d4c48478dcbeade8f7dba80b3

Сетевые индикаторы (C2)

IP-адрес	Назначение	Хостинг
43.134.90.60	Havoc C2	Tencent Cloud
43.134.52.221	Havoc C2	Tencent Cloud
47.237.15.197	Havoc C2 + FTP	Alibaba Cloud

Файловые артефакты

Путь / имя файла	Описание
C:\ProgramData\PowerISO\poweriso.exe	Легитимный PE для sideloading
C:\ProgramData\PowerISO\7z-x64.dll	Havoc-имплант (вредоносная DLL)
%AppData%\Roaming\Adobe\update.7z	Архив второго этапа
iscsiexe.dll	DLL для UAC bypass
rom.dat	Конфигурационные данные

Ключи реестра

Ключ реестра	Назначение
HKCU\...\Run\UpdateCheck	Persistence (автозапуск)
HKCU\Environment\PATH	Модификация PATH для UAC bypass

Что делать: практические рекомендации

Немедленные действия

Если ваша организация использует TrueConf, начните с этого:

• Обновить TrueConf Client до 8.5.3 или выше. CVE-2026-3502 закрыта в этом релизе. Проверьте все клиентские установки - включая удалённые рабочие места, VDI-образы и резервные серверы.

• Проверить IOC на конечных устройствах. Ищите файлы (poweriso.exe в ProgramData, update.7z в AppData), ключ реестра UpdateCheck и сетевые подключения к указанным IP. Для автоматизации подойдёт PowerShell-скрипт или EDR-запросы.

• Заблокировать C2-адреса. Добавьте 43.134.90.60, 43.134.52.221 и 47.237.15.197 в чёрные списки на NGFW и в IDS/IPS.

• Проверить целостность файлов на сервере TrueConf. Сравните хеши в каталоге ClientInstFiles с эталонными значениями от производителя.

Стратегические меры

Эти рекомендации касаются не только TrueConf, но и любой on-premise инфраструктуры с внутренними механизмами обновления:

• Сегментация сети. Сервер ВКС - в отдельный VLAN с контролируемым доступом. Серверы обновлений не должны стоять в одном сегменте с рабочими станциями и критичными системами. Причем не используйте единую DMZ для нескольких сервисов, необходима микросегментация: каждый сервис в отдельной «закрытой» подсети.

• Мониторинг целостности файлов (FIM). File Integrity Monitoring на серверах, раздающих обновления. Любое изменение исполняемых файлов должно генерировать алерт и запускать расследование.

• Контроль DLL sideloading. Политики AppLocker или WDAC, запрещающие загрузку неподписанных DLL из нестандартных каталогов. Это закрывает один из ключевых векторов из Operation TrueChaos.

• NGFW с IPS между сегментами. Межсетевой экран нового поколения с системой предотвращения вторжений - не только на периметре, но и между внутренними сегментами. Это позволяет ловить C2-трафик даже при компрометации внутренних систем.

• Zero Trust для внутренних обновлений. Обновление с внутреннего сервера - это не индульгенция. Реализуйте верификацию: проверка цифровых подписей, контрольных сумм, мониторинг аномальных изменений в каналах доставки.

• Регулярный threat hunting. Включите IOC из Operation TrueChaos в программу проактивного поиска угроз. Обновляйте базу индикаторов по мере появления новых данных от ИБ-вендоров.

Supply-chain угрозы: тренд 2026 года

Operation TrueChaos - это проявление тенденции, которую ИБ-отрасль наблюдает уже несколько лет. Атаки через цепочку поставок ПО превращаются в один из самых эффективных инструментов продвинутых группировок.

Параллели

В декабре 2020 года атака на SolarWinds Orion показала, что компрометация механизма обновлений позволяет разом получить доступ к тысячам организаций - от госструктур до компаний из Fortune 500. Backdoor был встроен в легитимное обновление, подписанное действительным сертификатом.

В марте 2023 года по схожей схеме была скомпрометирована 3CX - популярная VoIP-платформа. Вредоносный код оказался в официальном десктопном клиенте; пользователи ставили его, ничего не подозревая. Атрибуция указала на северокорейскую группу Lazarus.

TrueConf, SolarWinds, 3CX - три разных продукта, три географии, но один архитектурный паттерн: доверенный канал обновления используется для доставки вредоносного кода. Каждый раз атакующие эксплуатируют одно и то же допущение: «раз обновление пришло с нашего сервера - ему можно доверять».

On-premise не значит безопасность

Распространённое заблуждение: on-premise развёртывание автоматически безопаснее облачного. Operation TrueChaos это наглядно опровергает. Сервер TrueConf стоял внутри периметра, за межсетевым экраном - и всё равно был скомпрометирован. On-premise даёт контроль, но контроль - это и ответственность: за обновление, за мониторинг целостности, за сегментацию, за обнаружение аномалий.

Zero Trust внутри сети

Модель Zero Trust часто воспринимается как история про защиту периметра - проверка каждого внешнего подключения. Но инциденты уровня Operation TrueChaos показывают, что Zero Trust нужен и внутри. Нельзя доверять трафику только потому, что он идёт из внутренней сети. Нельзя доверять обновлению только потому, что оно скачалось с локального сервера. Каждый компонент должен верифицировать каждый другой - вне зависимости от расположения.

На практике это означает: глубокая сегментация, NGFW с IPS на внутренних границах, DNS-фильтрация и мониторинг, анализ поведенческих аномалий (UEBA) и автоматизация реагирования (SOAR). Только комплексный подход позволяет выстроить защиту от supply-chain атак, бьющих через доверие к собственным системам.