كشف خبراء أمنيون عن استغلال ثغرة يوم الصفر في برنامج TrueConf للمؤتمرات المرئية في هجمات استهدفت جهات حكومية في جنوب شرق آسيا ضمن حملة سُميت TrueChaos.
ما هي ثغرة TrueConf وكيف تعمل؟
تُعرف الثغرة برمز CVE-2026-3502 وتحمل تصنيف خطورة عالٍ بمؤشر CVSS قدره 7.8. تكمن المشكلة في غياب فحص سلامة أثناء جلب تحديثات التطبيق، ما يتيح لمهاجر توزيع تحديثات مزيفة تنفذ أكواداً خبيثة بشكل تعسفي.
وفقاً لتقرير شركة Check Point، فإن الثغرة تنشأ من إساءة استخدام آلية التحقق من التحديثات في TrueConf. فعندما يسيطر المهاجم على الخادم المحلي، يمكنه استبدال حزمة التحديث بنسخة مسمومة تُنزَّل تلقائياً على أجهزة المستخدمين المتصلة.
آلية الهجوم
- السيطرة على خادم TrueConf المحلي
- استبدال حزمة التحديث بنسخة مسمومة
- اعتماد العميل على آلية التحديث دون تحقق كافٍ
- تنفيذ أكواد خبيثة على أجهزة الضحايا
من يقف وراء حملة TrueChaos؟
رصدت الحملة استغلال هذه الثغرة لنشر أداة Havoc مفتوحة المصدر للتحكم والسيطرة. وأُرجعت النشاطات بثقة متوسطة إلى جهة تهديد مرتبطة بالصين، وفقاً لما ورد في تقرير أمني راجعه تيكبامين.
سُجلت الهجمات لأول مرة مطلع 2026، حيث استُغلت الثقة الممنوحة لآلية التحديث لدفع مُثبِّت خبيث يعتمد على تقنية DLL side-loading لإطلاق باب خلفي.
مؤشرات الارتباط بجهة صينية
- استخدام تقنية DLL side-loading
- اعتماد Alibaba Cloud وTencent للبنية التحتية للتحكم
- استهداف نفس الضحية في الفترة ذاتها بواسطة ShadowPad
كيف تحمي نفسك من ثغرات التحديثات؟
أصدرت TrueConf التحديث الأمني في الإصدار 8.5.3 لويندوز، ويُنصح بالترقية فوراً. كما يؤكد تيكبامين على أهمية التحقق من سلامة التحديثات ومراقبة الخوادم المحلية بشكل دوري.
- تحديث TrueConf إلى الإصدار 8.5.3 أو أحدث
- مراقبة الخوادم المحلية للكشف عن أي تعديل غير مصرح
- تفعيل آليات التحقق من سلامة الملفات
- استخدام حلول أمنية متقدمة لرصد الأنشطة المشبوهة
تُبرز هذه الحملة مخاطر الثقة العمياء في آليات التحديث التلقائي، وتُعزز الحاجة إلى اعتماد معايير تحقق صارمة في تطبيقات المؤتمرات المرئية لحماية البيانات الحساسة.
