[OOTB] TrueConf. Head Mare campaign package - RU
<html lang="en">
<body>
  
  <p>
	В феврале 2026 года нами была обнаружена вредоносная кампания группировки Head Mare, нацеленная на образовательные и научные учреждения, а также организации энергетического сектора в России. Кампания была активна как минимум с декабря 2025 года. Жертвы получали ссылку — приглашение на видеоконференцию с использованием приложения TrueConf. После перехода по ссылке пользователю предлагалось установить сервис для подключения к видеозвонку. В процессе установки происходило заражение системы — на устройство устанавливался ранее неизвестный бэкдор, который мы назвали PhantomPxPigeon.<br>
	<br>
	Правила обнаружения такой атаки для EDR\SIEM можно построить на следующих логиках:<br>
	1. Подмена файлов-клиентов приложения TrueConf на сервере TrueConf в директории C:\Program Files\TrueConf Server\ClientInstFiles\<br>
	2. Обращения к подозрительным доменам от процесса клиентского приложения C:\Program Files\TrueConf\Client\TrueConf.exe<br>
	3. Загрузка подозрительных библиотек процессом клиентского приложения \Client\TrueConf.exe<br>
	4. Обращения процесса C:\Program Files\TrueConf\Client\TrueConf.exe на IP из необычных регионов<br>
	5. Создание подозрительных файлов и процессов клиентским приложением  C:\Program Files\TrueConf\Client\TrueConf.exe<br>
	6. В случае эксплуатации уязвимостей сервера TrueConf, необходимо следить за активностью серверных процессов tc_webmgr.exe и tc_server.exe - создание подозрительных процессов и файлов.<br>
	<br>
	Пакет правил включаем в себя набор правил, который покрывает перечисленные логики детектирования с использованием телеметрии от журналов Windows event log и частично Sysmon, а также 2 правила на обнаружение индикаторов компрометации в виде доменных имен и хешей файлов.
  </p>

</body>
</html>