💡 Theo đánh giá của RetroLab, sự cố này là lời cảnh báo rõ ràng về lỗ hổng an ninh trong các phần mềm tự lưu trữ, nơi mà sự tin tưởng vào máy chủ nội bộ có thể bị lợi dụng. Đội ngũ RetroLab nhận thấy rằng các tổ chức cần tăng cường kiểm tra an ninh chuỗi cung ứng, ngay cả đối với các giải pháp được coi là an toàn.
Một chiến dịch tấn công chuỗi cung ứng tinh vi đã khai thác lỗ hổng trong phần mềm họp video TrueConf, thường được các tổ chức chính phủ và quốc phòng sử dụng, làm dấy lên lo ngại về an ninh mạng toàn cầu.
Các chuyên gia bảo mật từ Check Point đã tiết lộ chi tiết về chiến dịch Operation TrueChaos, tập trung vào một lỗ hổng zero-day trong TrueConf – một nền tảng họp video và cộng tác có thể chạy trên đám mây hoặc trên máy chủ riêng của doanh nghiệp. Nền tảng này hoạt động theo mô hình client-server, thường trong mạng nội bộ riêng tư, cho phép các tổ chức tổ chức họp, nhắn tin và chia sẻ tệp mà không cần dựa vào internet công cộng.
Độc đáo nhưng cũng là điểm yếu
TrueConf chủ yếu được sử dụng bởi chính phủ, các cơ quan quốc phòng và doanh nghiệp lớn đòi hỏi kiểm soát dữ liệu nghiêm ngặt nhờ kiến trúc tự lưu trữ nội bộ. Tuy nhiên, chính ưu điểm này lại trở thành lỗ hổng bị khai thác trong cuộc tấn công.
Khi người chạy ứng dụng client, nó kết nối với máy chủ cục bộ và kiểm tra bản cập nhật – nếu phát hiện phiên bản không khớp, nó có thể khởi động quá trình cập nhật. Vấn đề nằm ở chỗ quá trình này không có đủ kiểm tra an ninh, cho phép kẻ tấn công đẩy mã độc thông qua quy trình cập nhật hợp pháp.
Lỗ hổng này được theo dõi dưới mã CVE-2026-3502 với mức độ nghiêm trọng 7.8/10 (cao). Theo giải thích từ NVD: “Nếu payload được thực thi hoặc cài đặt bởi trình cập nhật, nó có thể dẫn đến việc thực thi mã tùy chỉnh trong ngữ cảnh quá trình cập nhật hoặc người dùng.”
Tấn công gián điệp mạng phức tạp
Sau khi khai thác thành công, kẻ tấn công đã triển khai Havoc – một framework khai thác hậu khai thác mã nguồn mở, được thiết kế cho các bài kiểm thử red team nâng cao. Nó cung cấp khả năng thực thi trong bộ nhớ, giao tiếp mã hóa và nhiều kỹ thuật trốn tránh để thực hiện các hoạt động gián điệp.
Dựa trên loại mã độc và nạn nhân, Check Point kết luận đây là một chiến dịch gián điệp. Với sự hỗ trợ của Havoc, kẻ tấn công đã thực hiện “các hoạt động trinh sát, chuẩn bị môi trường, duy trì truy cập và thu thập thêm payload” một cách bí mật.
Số lượng nạn nhân chính xác không thể xác định do nhiều phiên bản TrueConf chạy cục bộ trên mạng không kết nối internet. Tuy nhiên, các nhà nghiên cứu đã phát hiện “chuỗi tấn công nhắm vào các thực thể chính phủ ở Nam Á”, cho thấy nhiều vụ xâm nhập.
Các chiến thuật, kỹ thuật và cơ sở hạ tầng chỉ huy đều chỉ ra mối liên hệ với một tác nhân đe dọa có nguồn gốc từ Trung Quốc.
Khắc phục và khuyến nghị
TrueConf đã vá lỗ hổng và phát hành bản cập nhật mới. Tất cả người dùng đang chạy phiên bản 8.5.2 trở xuống được khuyến nghị nâng cấp lên phiên bản 8.5.3, phát hành vào tháng 3 năm 2026.
Sự cố này nhấn mạnh tầm quan trọng của an ninh chuỗi cung ứng trong phần mềm doanh nghiệp, đặc biệt khi các công cụ bảo mật như họp video lại trở thành điểm yếu bị khai thác.
