美 CISA 緊急下令修補視訊軟體漏洞　中國駭客已利用攻擊東南亞政府

美國網路安全暨基礎設施安全局（CISA）近日針對視訊會議軟體 TrueConf 的高風險漏洞發布緊急指令，要求聯邦機構須在 4 月 16 日前完成修補。資安公司 Check Point 證實，該漏洞在修補程式釋出前已遭疑似中國駭客組織利用，針對東南亞多國政府機關發動零日攻擊行動。

零日漏洞遭實際利用　CISA 列入必修清單

CISA 將編號 CVE-2026-3502 的漏洞列入已知遭利用漏洞（KEV）清單，該漏洞 CVSS 評分達 7.8 分（滿分 10 分），屬於高風險等級。根據 Check Point 研究報告，此漏洞存在於 TrueConf 用戶端應用程式的更新驗證機制中，由於程式在下載更新套件時未驗證其完整性，攻擊者若能控制組織內部的 TrueConf 伺服器，即可將惡意檔案偽裝成合法更新，派送至所有連線的用戶端並執行任意程式碼。

TrueConf 是一款專為私有區域網路（LAN）環境設計的視訊會議平台，可在無網際網路連線的情況下運作。根據官方資料，全球約有 10 萬個組織採用該平台，使用者涵蓋政府機關、軍事單位、石油天然氣企業及航空管制單位等關鍵基礎設施領域。由於其強調資料隱私與通訊自主性，特別受到需要高度安全環境的組織青睞，也因此成為國家級駭客的攻擊目標。

Check Point 揭露「TrueChaos」攻擊行動

Check Point 研究人員將此攻擊活動命名為「TrueChaos」，並指出該行動自 2026 年初開始，鎖定東南亞地區的政府機關。研究人員表示，攻擊者並非透過傳統的釣魚郵件或暴露於外網的服務發動攻擊，而是瞄準已部署於政府環境內的軟體系統。

攻擊流程顯示，感染可能始於攻擊者發送的惡意連結。當受害者點擊連結後，會啟動電腦上已安裝的 TrueConf 用戶端並顯示更新提示。然而在此之前，駭客已取得目標組織內部 TrueConf 伺服器的控制權，並將伺服器上的更新套件替換為惡意版本。Check Point 指出，由於用戶端信任來自伺服器的更新且未進行完整性驗證，惡意檔案得以透過正常更新流程派送與執行。

研究人員指出，遭入侵的 TrueConf 伺服器由政府資訊部門管理，作為數十個政府單位的視訊會議平台，因此所有連線單位皆收到相同的惡意更新。

攻擊鏈涉及多項進階技術

在已觀察到的案例中，攻擊者運用多項進階技術手法。在初始感染階段，駭客採用 DLL 側載技術載入惡意程式；在權限提升階段，則透過 iscicpl.exe 繞過使用者帳戶控制（UAC bypass）以取得更高權限。此外，攻擊者使用 tasklist、tracert 等系統內建工具進行環境偵察，並建立持久性機制。

Check Point 表示，研究人員未能取得攻擊的最終載荷（final payload），但根據網路流量分析，流量指向 Havoc 命令控制（C2）基礎設施，因此極可能部署了 Havoc 植入程式。Havoc 是一款開源 C2 框架，具備執行命令、管理程序、操控 Windows 權杖、執行 shellcode 及部署額外惡意載荷等功能。中國駭客組織「Amaranth Dragon」過去曾在類似範圍的攻擊行動中使用 Havoc 框架。

歸因指向中國關聯駭客

Check Point 以中等信心將 TrueChaos 行動歸因於中國關聯威脅行為者，依據包括：攻擊者使用的戰術、技術與程序（TTP）、採用阿里雲與騰訊雲作為 C2 基礎設施，以及受害者特徵等。此外，研究人員觀察到同一受害單位亦遭 ShadowPad 惡意程式攻擊，而 ShadowPad 是中國駭客組織的慣用工具。

TrueConf 已於 2026 年 3 月釋出 8.5.3 版修補此漏洞，受影響版本為 8.1.0 至 8.5.2。Check Point 建議組織應立即更新至最新版本，並檢視系統是否存在入侵跡象，重點關注可疑的更新行為及相關入侵指標，包括 poweriso.exe、7z-x64.dll、iscsiexe.dll 等檔案，以及 %AppData%\Roaming\Adobe\update.7z 等可疑路徑。

本文轉載自 TheRecord、HelpNetSecurity、BleepingComputer。