Компания ViPNet, разработчик программного обеспечения, подтвердила факт сложной целевой атаки на различные крупные организации в России, в том числе государственные, финансовые и промышленные. В ходе атаки был создан сложный бэкдор, который распространялся в архивах, имитирующих обновления программного обеспечения ViPNet. Эти архивы содержали несколько файлов, включая легитимный исполняемый файл, небольшой вредоносный исполняемый файл и зашифрованный файл полезной нагрузки с разным именем в каждом архиве.
Описание
В ходе расследования выяснилось, что бэкдор нацелен на компьютеры, подключенные к сетям ViPNet. Атака использовала компонент ViPNet Update Service, itcsrvup64.exe, выполняя действие, указанное в текстовом файле action.inf, находящемся в архиве. Указанное действие предписывало службе запустить легитимный файл lumpdiag.exe с аргументом --msconfig. Однако из-за подмены пути выполнения вместо него запускался вредоносный файл msinfo32.exe.
Файл msinfo32.exe выступал в роли загрузчика зашифрованного файла полезной нагрузки. Эта полезная нагрузка отвечала за загрузку бэкдора в память зараженного компьютера. Бэкдор обладал различными возможностями, в том числе способностью устанавливать TCP-соединение с управляющим сервером. Это позволяло злоумышленнику похищать файлы со взломанных систем и устанавливать дополнительные вредоносные компоненты. Лаборатория Касперского идентифицировала бэкдор как HEUR:Trojan.Win32.Loader.gen.
Компания ViPNet выпустила обновления продуктов и рекомендации, чтобы помочь пострадавшим организациям защититься от этой атаки с использованием бэкдора. Расследование еще продолжается, но публикация предварительных результатов направлена на повышение осведомленности и на то, чтобы организации, подверженные этой угрозе, могли принять незамедлительные меры.
Эта целенаправленная атака на российские организации подчеркивает эволюционирующий и изощренный характер киберугроз. Она подчеркивает важность сохранения бдительности, обновления программного обеспечения и применения надежных мер безопасности для защиты конфиденциальной информации и критически важной инфраструктуры.
Индикаторы компрометации
MD5
- 018ad336474b9e54e1bd0e9528ca4db5
- 28ac759e6662a4b4be3e5ba7cfb62204
- 77da0829858178ccfc2c0a5313e327c1
- a5b31b22e41100eb9d0b9a27b9b2d8ef
- e6db606fa2b7e9d58340df14f65664b8
SHA1
- 4049d4625cefca7703dbd82edc573c1a22c22b99
- 6a5aa6fefbe0c71f7ca9464288b428d61e0f048e
- 7903b1f4a86f33e9f4898a10a01204863ccd2cd7
- baf2f33a46fe33d1b07b8ce5c2db9317925906ce
- d861e93fea428aaf61cc007a7e43e94740101212
SHA256
- 0214bda2a4f114ed3813dac35735d642389367b5fa8dc0db727a5c92d56b3f79
- 77c127eaf7e0c326433b450609ac42808d1839a6771aed94d0d8cac6e3915500
- 79615033b984583ae4f1b41e9b78a80f9bd115d925b0704bb346f1c2cfda4331
- 7febf632046e65169c4c37658d17db49a521ef7aff5f1d4b81e9b1c3d2e9e612
- 95aa1494cd29c11b30c4c1e243ec5a2baeb39cdbedb193dc32c003ef467440cc
Paths
- %TEMP%\update_tmp*\update\msinfo32.exe
- %PROGRAMFILES%\common files\infotecs\update_tmp\driv_*\*\msinfo32.exe
- %PROGRAMFILESx86%\InfoTeCS\ViPNet Coordinator\ccc\update_tmp\DRIV_FSA\*\msinfo32.exe
