{"ID":"84aa0bc2-5aa3-2320-a7f3-e297ddf64e76","Version":1,"CreatedAt":1774260714212,"Description":"[OOTB] TrueConf. Head Mare campaign package - RU\n\u003chtml lang=\"en\"\u003e\n\u003cbody\u003e\n  \n  \u003cp\u003e\n\tВ феврале 2026 года нами была обнаружена вредоносная кампания группировки Head Mare, нацеленная на образовательные и научные учреждения, а также организации энергетического сектора в России. Кампания была активна как минимум с декабря 2025 года. Жертвы получали ссылку — приглашение на видеоконференцию с использованием приложения TrueConf. После перехода по ссылке пользователю предлагалось установить сервис для подключения к видеозвонку. В процессе установки происходило заражение системы — на устройство устанавливался ранее неизвестный бэкдор, который мы назвали PhantomPxPigeon.\u003cbr\u003e\n\t\u003cbr\u003e\n\tПравила обнаружения такой атаки для EDR\\SIEM можно построить на следующих логиках:\u003cbr\u003e\n\t1. Подмена файлов-клиентов приложения TrueConf на сервере TrueConf в директории C:\\Program Files\\TrueConf Server\\ClientInstFiles\\\u003cbr\u003e\n\t2. Обращения к подозрительным доменам от процесса клиентского приложения C:\\Program Files\\TrueConf\\Client\\TrueConf.exe\u003cbr\u003e\n\t3. Загрузка подозрительных библиотек процессом клиентского приложения \\Client\\TrueConf.exe\u003cbr\u003e\n\t4. Обращения процесса C:\\Program Files\\TrueConf\\Client\\TrueConf.exe на IP из необычных регионов\u003cbr\u003e\n\t5. Создание подозрительных файлов и процессов клиентским приложением  C:\\Program Files\\TrueConf\\Client\\TrueConf.exe\u003cbr\u003e\n\t6. В случае эксплуатации уязвимостей сервера TrueConf, необходимо следить за активностью серверных процессов tc_webmgr.exe и tc_server.exe - создание подозрительных процессов и файлов.\u003cbr\u003e\n\t\u003cbr\u003e\n\tПакет правил включаем в себя набор правил, который покрывает перечисленные логики детектирования с использованием телеметрии от журналов Windows event log и частично Sysmon, а также 2 правила на обнаружение индикаторов компрометации в виде доменных имен и хешей файлов.\n  \u003c/p\u003e\n\n\u003c/body\u003e\n\u003c/html\u003e","Language":"en","ResourceIDs":["31a915d2-fd60-4ae2-b1b6-61782b6bd861","82f6dcb7-6368-40e4-ad5a-404650d89297","04e400ba-031e-4a19-b3eb-21e70707556e","1e490456-c3f8-430d-8165-fb30538fc234","389e6f35-63d6-4f6a-8fd2-f749ea0c1f28","4c07479e-274d-4bc3-ae2e-b742e1fae409","72f5783e-57c9-46f1-988a-8d640702a121","9acdf61f-7c75-4a4b-bf06-c2b64fa2f3f3","9b5bd4ac-8d1b-4fab-9383-624074429503"],"Emergency":false}