- استغل هجوم سلسلة التوريد المتطور عملية تحديث TrueConf
- تم نشر إطار الخراب لعمليات التجسس
- تم تصحيح الثغرة الأمنية باستخدام إصدار TrueConf الجديد 8.5.3
تم استهداف حكومات جنوب شرق آسيا مؤخرًا بهجوم متطور للغاية على سلسلة التوريد كجزء من حملة تجسس إلكتروني أوسع، والتي يعتقد الخبراء أنها من عمل الحكومة الصينية.
قام باحثو الأمن Check Point بتفصيل النتائج التي توصلوا إليها حول عملية TrueChaos، وهي حملة تدور حول ثغرة أمنية يوم الصفر في TrueConf، وهي منصة لعقد مؤتمرات الفيديو والتعاون تعمل إما في السحابة أو على خوادم الشركة الخاصة.
وهو يعمل من خلال نموذج خادم العميل، وغالبًا ما يكون ذلك داخل شبكة محلية خاصة، مما يسمح للمؤسسات باستضافة الاجتماعات والرسائل ومشاركة الملفات دون الاعتماد على الإنترنت العام.
يستمر المقال أدناه
تعيث فسادا
يتم استخدام TrueConf في الغالب من قبل الحكومات والدفاع والمؤسسات الكبيرة التي تتطلب تحكمًا صارمًا في البيانات والخصوصية، حيث أن ما يميزها الرئيسي هو بنيتها الداخلية ذاتية الاستضافة، والتي تحافظ على جميع الاتصالات داخلية وآمنة، جنبًا إلى جنب مع تقنية الفيديو القابلة للتطوير والتي تتكيف مع التدفقات مع جهاز كل مستخدم وعرض النطاق الترددي.
ومع ذلك، كان عرض البيع الفريد لـ TrueConf أيضًا هو أضعف نقطة في هذا الهجوم.
عندما يقوم المستخدمون بتشغيل العميل، فإنه يتصل بالخادم المحلي ويتحقق من التحديثات – وإذا رأى عدم تطابق بين إصداره وإصدار الخادم، فيمكنه بدء التحديث.
تنبع المشكلة من حقيقة أن هذا التحديث تم دون فحوصات كافية، مما سمح للجهات الفاعلة في مجال التهديد بدفع تعليمات برمجية عشوائية عبر عملية تحديث مشروعة.
يتم الآن تتبع هذا الخطأ باسم CVE-2026-3502 وحصل على درجة خطورة تبلغ 7.8/10 (عالية). وأوضح NVD: “إذا تم تنفيذ الحمولة أو تثبيتها بواسطة المُحدِّث، فقد يؤدي ذلك إلى تنفيذ تعليمات برمجية عشوائية في سياق عملية التحديث أو المستخدم”.
هذا لا يزال يترك مسألة المساس بالخادم المحلي. ولم تناقش Check Point في تقريرها هذه العملية، لذلك لا نعرف كيف حدثت وما هي البرامج الضارة التي تم استخدامها لمهاجمة نقطة النهاية هذه.
ومع ذلك، استخدمت الجهات الفاعلة في مجال التهديد إمكانية الوصول لدفع Havoc، وهو إطار مفتوح المصدر لمرحلة ما بعد الاستغلال مصمم للعمل الجماعي الأحمر المتقدم ومحاكاة الخصوم. فهو يوفر إمكانات معيارية لعمليات القيادة والسيطرة الخفية (C2)، ويقدم ميزات مثل التنفيذ في الذاكرة، والاتصالات المشفرة، وتقنيات التهرب المختلفة.
إلقاء اللوم على جواسيس الإنترنت الصينيين
وبالنظر إلى نوع البرامج الضارة التي تم نشرها في الحملة، بالإضافة إلى عدد الضحايا، خلصت Check Point إلى أن هذه كانت حملة تجسس. بمساعدة Havoc، تمكن المحتالون من أداء “سلسلة من الممثلين العمليين على لوحة المفاتيح الذين ركزوا على الاستطلاع، وإعداد البيئة، والمثابرة، واسترداد الحمولات الإضافية”.
وأضافت تشيك بوينت أنه لا يمكن تحديد العدد الدقيق للضحايا، وكذلك الصناعات التي يعملون فيها. ويرجع ذلك في الغالب إلى أن العديد من مثيلات TrueConf تعمل محليًا، على شبكات غير متصلة بالإنترنت على نطاق أوسع. ومع ذلك، قال الباحثون إنهم رأوا “سلسلة من الهجمات المستهدفة ضد كيانات حكومية في جنوب آسيا”، مما يشير إلى غارات متعددة.
وخلص CPR إلى أن التكتيكات والتقنيات والإجراءات، بالإضافة إلى البنية التحتية للقيادة والسيطرة، تشير جميعها إلى جهة فاعلة للتهديد الصيني، دون مشاركة أي أسماء.
قام TrueConf منذ ذلك الحين بإصلاح الثغرة الأمنية وأصدر تصحيحًا. يُنصح جميع المستخدمين الذين يستخدمون الإصدارات 8.5.2 والإصدارات الأقدم بالترقية إلى الإصدار 8.5.3، الذي تم إصداره في مارس 2026.
عبر BleepingComputer
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات