استغلال ثغرة يوم صفر في تطبيق TrueConf لاختراق الشبكات الحكومية عبر تحديثات وهمية

تُستغل ثغرة يوم صفر في تطبيق TrueConf بشكل نشط لاختراق الشبكات الحكومية ونشر البرمجيات الخبيثة عبر تحديثات برمجية مخترقة. كشف باحثو الأمن السيبراني في شركة Check Point عن حملة تجسس سيبراني معقدة تستهدف المؤسسات الدفاعية ومشغلي البنية التحتية الحيوية في جنوب شرق آسيا. يتجاوز هذا الهجوم أساليب التصيد الاحتيالي التقليدية من خلال تسليح آلية التحديث الموثوقة لمنصة مؤتمرات الفيديو التابعة لشركة TrueConf.

تم تصميم منصة TrueConf خصيصاً للعمل على الشبكات المحلية الخاصة (LANs) دون الحاجة إلى اتصال بالإنترنت، مما يجعلها حلاً جذاباً للغاية للبيئات الحكومية شديدة السرية. نظراً لأن البرنامج يعمل خلف جدران حماية صارمة، يفترض مسؤولو الشبكات غالباً أن البنية التحتية الداخلية آمنة من التلاعب الخارجي. ومع ذلك، سمح هذا الشعور الزائف بالأمان لجهات فاعلة يشتبه في ارتباطها بدولة الصين باختراق الخوادم المحلية وتوزيع حمولات خبيثة مباشرة على الأجهزة الداخلية.

ينبع الخلل الأمني، الذي يحمل معرف CVE-2026-3502، من فشل حرج في كيفية تعامل تطبيق TrueConf مع تحديثات البرامج. يقوم التطبيق بتنزيل التحديثات من خادم محلي مركزي وتثبيتها دون التحقق من السلامة التشفيرية لحزم التحديث. استغل المهاجمون هذا الخطأ من خلال السيطرة على خوادم TrueConf الداخلية واستبدال ملفات التحديث الشرعية بنسخ ملغمة.

تبدأ سلسلة الإصابة عادةً عندما ينقر المستخدم المستهدف على رابط خبيث يؤدي إلى تشغيل تطبيق TrueConf المثبت مسبقاً لديه. يعرض التطبيق بعد ذلك مطالبة خادعة تدعي توفر إصدار أحدث للتثبيت. بمجرد أن يقبل الضحية المطالبة، يسترد العميل الملف الخبيث من خلال عملية التحديث العادية، مما يتجاوز تنبيهات أمان نقاط النهاية القياسية تماماً.

وفقاً للتحقيق الذي أجرته شركة Check Point، استخدم المهاجمون قناة التحديث المخترقة هذه لنشر إطار عمل ما بعد الاستغلال مفتوح المصدر المعروف باسم Havoc. بمجرد تثبيته على جهاز حكومي، يتيح إطار Havoc إجراء استطلاع واسع للشبكة، والحفاظ على وصول مستمر، والتواصل السري مع بنية تحتية خارجية للقيادة والسيطرة.

نظراً لأن هذه الثغرة تستهدف آلية التحديث الأساسية، يلزم اتخاذ إجراء إداري فوري لتأمين الاتصالات الداخلية. تظل المؤسسات التي تقوم بتشغيل إصدارات قديمة من البرنامج معرضة بشدة لخطر حملة عملية TrueChaos.

• التحديث الفوري إلى إصدار 8.5.3 من تطبيق TrueConf لنظام Windows، والذي تم إصداره رسمياً في شهر مارس من عام 2026 لتصحيح ثغرة CVE-2026-3502.
• مراجعة خوادم TrueConf المحلية بحثاً عن أي وصول غير مصرح به أو حزم تحديث معدلة.
• مراقبة سجلات نقاط النهاية بحثاً عن عمليات نشر غير متوقعة لإطار Havoc أو حركة مرور غير عادية للقيادة والسيطرة تنشأ من عملاء مؤتمرات الفيديو.

يسلط استغلال ثغرة CVE-2026-3502 الضوء على تطور خطير في كيفية تعامل الجهات الفاعلة المدعومة من الدول مع الشبكات المعزولة أو المقيدة بشدة. من خلال استهداف أداة مؤتمرات فيديو محلية يتم تسويقها تحديداً لأمانها في وضع عدم الاتصال، يحول المهاجمون دفاعات الوكالات الحكومية ذاتها ضدها. يثبت هذا الحادث أن الاعتماد فقط على عزل الشبكة لم يعد استراتيجية أمنية قابلة للتطبيق.

علاوة على ذلك، يوضح استخدام إطار Havoc مفتوح المصدر جهداً محسوباً من قبل التهديدات المستمرة المتقدمة (APTs) للاندماج مع حركة مرور البرمجيات الخبيثة العامة وتعقيد عملية الإسناد. للمضي قدماً، يجب على المؤسسات فرض تحقق صارم من التوقيعات التشفيرية لجميع تحديثات البرامج الداخلية، حتى عندما تنشأ تلك التحديثات من خادم محلي موثوق.