高深刻度のセキュリティ上の欠陥が、**TrueConf**クライアントビデオ会議ソフトウェアに存在し、TrueChaosと呼ばれるキャンペーンの一環として、東南アジアの政府機関を標的としたゼロデイ攻撃で悪用されています。 ### CVE-2026-3502：悪意のあるアップデートによる任意のコード実行 問題となっている脆弱性は**CVE-2026-3502**（CVSSスコア：7.8）で、アプリケーションアップデートコードを取得する際の整合性チェックの欠如に起因します。これにより、攻撃者は改ざんされたアップデートを配布し、任意のコード実行を可能にします。この脆弱性は、今月初めにリリースされた**TrueConf** Windowsクライアントのバージョン8.5.3以降で修正されています。 「この欠陥は、**TrueConf**のアップデーター検証メカニズムの悪用から生じており、オンプレミスの**TrueConf**サーバーを制御する攻撃者が、接続されているすべてのエンドポイント全体で任意のファイルを配布および実行することを可能にします」と、本日公開されたレポートで**Check Point**は述べています。 つまり、オンプレミスの**TrueConf**サーバーの制御を奪うことに成功した攻撃者は、アップデートパッケージを悪意のあるバージョンに置き換えることができます。この悪意のあるアップデートは、クライアントアプリケーションがエンドポイントにインストールされているため、サーバーから提供されたアップデートが改ざんされていないことを確認するための適切な検証が実施されていないため、クライアントアプリケーションによって取得されます。 ### TrueChaosキャンペーンとHavocフレームワーク **TrueChaos**キャンペーンは、アップデートメカニズムにおけるこの欠陥を悪用し、オープンソースの**Havoc**コマンド＆コントロール（C2）フレームワークを脆弱なエンドポイントに展開した可能性が高いことが判明しました。この活動は、中国関連の攻撃者によるものと中程度の確信度で帰属されています。 この脆弱性を悪用する攻撃は、2026年初頭にサイバーセキュリティ企業によって初めて記録され、クライアントがアップデートメカニズムに暗黙的に置く信頼が悪用され、正規のインストーラーではなく、DLLサイドローディングを利用してDLLバックドアを起動する不正なインストーラーがプッシュされました。  DLLインプラント（"7z-x64.dll"）は、偵察の実行、永続性の確立、およびFTPサーバー（"47.237.15[.]197"）からの追加ペイロード（"iscsiexe.dll"）の取得を行うハンズオンキーボードアクションを実行していることも確認されています。"iscsiexe.dll"の主な目的は、バックドアをサイドロードするためにドロップされる正規のバイナリ（"poweriso.exe"）の実行を確実にすることです。 攻撃の一部として配信される最終段階のマルウェアの正確な詳細は不明ですが、最終的な目標は**Havoc**インプラントを展開することであると高い確信度で評価されています。 ### 中国との関連性とShadowPadとの繋がり **TrueChaos**と中国関連の攻撃者との関連性は、DLLサイドローディングの使用、C2インフラストラクチャとしての**Alibaba Cloud**および**Tencent**の使用、そして同じ被害者が同時期に中国関連のハッキンググループによって広く使用されている高度なバックドアである**ShadowPad**によって標的にされたという事実にに基づいています。 さらに、**Havoc**の使用は、2025年に東南アジア全域の政府および法執行機関を標的とした侵入で、Amaranth-Dragonと呼ばれる別の中国の攻撃者に帰属されています。  「**CVE-2026-3502**の悪用は、攻撃者が個々のエンドポイントを侵害する必要はありませんでした」と**Check Point**は述べています。「代わりに、攻撃者は中央のオンプレミス**TrueConf**サーバーとそのクライアント間の信頼関係を悪用しました。正規のアップデートを悪意のあるものに置き換えることで、製品の通常のアップデートフローを、接続されている複数の政府ネットワーク全体でのマルウェア配布チャネルに変えました。」