SchwachstellenHackerangriffeMalware

TrueConf-Videokonferenz-Software: Zero-Day-Lücke in Angriffen auf südostasiatische Regierungsnetzwerke ausgenutzt

TrueConf-Videokonferenz-Software: Zero-Day-Lücke in Angriffen auf südostasiatische Regierungsnetzwerke ausgenutzt
Zusammenfassung

Eine bislang unbekannte Sicherheitslücke in der Videokonferenzsoftware TrueConf wird derzeit aktiv ausgenutzt, um Regierungsnetzwerke in Südostasien anzugreifen. Die als CVE-2026-3502 registrierte Schwachstelle ermöglicht es Angreifern, fehlerhafte Update-Pakete zu verteilen und damit beliebige Schadcode auf den Systemen der Nutzer auszuführen. Betroffen sind vor allem Behörden und Regierungsstellen in der südostasiatischen Region, doch auch deutsche Institutionen könnten potenziell gefährdet sein, falls sie TrueConf einsetzen. Die Sicherheitsforscher von Check Point haben die Kampagne „TrueChaos" einer chinesischen Hacker-Gruppe zugeordnet, die gezielt das Vertrauen zwischen TrueConf-Servern und deren Client-Anwendungen missbraucht. Der Angriffsmechanismus ist besonders tückisch: Indem die Angreifer einen zentralen On-Premises-Server kompromittieren, können sie automatisch alle verbundenen Endgeräte mit Schadcode infizieren – ohne jeden einzelnen Computer separat attackieren zu müssen. Für deutsche Unternehmen und Behörden, die TrueConf nutzen, ist ein sofortiges Update auf Version 8.5.3 oder höher essentiell, um sich vor dieser kritischen Bedrohung zu schützen.

Die entdeckte Schwachstelle CVE-2026-3502 betrifft das Update-Validierungssystem von TrueConf. Das kritische Problem: Der Client überprüft nicht ausreichend, ob die vom Server bereitgestellten Updates tatsächlich authentisch und unverfälscht sind. Dies ermöglicht Angreifern, die Kontrolle über den lokal betriebenen TrueConf-Server erlangt haben, manipulierte Update-Pakete an alle verbundenen Endgeräte zu verteilen.

Die Malware-Kampagne “TrueChaos” nutzt diese Lücke gezielt aus. Sicherheitsexperten von Check Point dokumentierten, dass Angreifer mit moderater Sicherheit dem chinesischen Cyber-Ökosystem zugeordnet werden können. Erste Angriffe wurden Anfang 2026 registriert. Die Täter setzen auf eine ausgefeilte Angriffskette: Nach Verteilung eines präparierten Installers kommt das DLL-Sideloading-Verfahren zum Einsatz. Dabei wird eine backdoor-haltige Datei namens “7z-x64.dll” geladen.

Diese DLL-Komponente führt verschiedene bösartige Aktivitäten durch: Sie sammelt Informationen über das Zielsystem, etabliert Persistenzmechanismen und lädt weitere Payloads von einem FTP-Server (47.237.15.197) herunter. Die zweite Payload “iscsiexe.dll” sorgt dafür, dass die legitime Anwendung “poweriso.exe” ausgeführt wird, um eine weitere Backdoor zu laden.

Laut Check Point zielt die Kampagne primär darauf ab, das sogenannte Havoc-Framework — ein Open-Source-C2-Tool — auf den kompromittierten Systemen zu installieren. Besonders bemerkenswert: Identische Ziele wurden zur selben Zeit auch von der Malware “ShadowPad” angegriffen, ein Backdoor-Tool, das typischerweise China-verbundenen Gruppen zugeordnet wird.

Die Patch-Version 8.5.3 für Windows-Clients wurde bereits veröffentlicht und behebt die Integritätsprobleme. German Organisations, insbesondere Behörden und Unternehmen der Kritischen Infrastruktur, sollten umgehend überprüfen, welche TrueConf-Versionen im Einsatz sind und sofortigen Updates durchführen. Der Vorfall unterstreicht die Bedeutung von Zero-Trust-Prinzipien: Selbst vermeintlich sichere interne Update-Mechanismen müssen kryptographisch verifiziert werden.

Ähnliche Artikel