Российские организации атакует бэкдор, мимикрирующий под обновления ПО ViPNet

UPD 18.04.2025. Разработчик решения ViPNet подтвердил инцидент с проведением сложной целевой атаки у ряда пользователей, а также выпустил обновления продуктов и рекомендации для клиентов.

В апреле 2025 года мы проводили расследование киберинцидента, в ходе которого обнаружили довольно сложный бэкдор. Его целями стали различные крупные организации в России, в том числе государственные, финансовые и промышленные. Несмотря на то что мы еще продолжаем исследовать связанную с этим бэкдором атаку, мы считаем нужным поделиться с сообществом предварительными результатами нашего расследования. Это позволит организациям, которые могут быть подвержены заражению обнаруженным бэкдором, оперативно защитить себя от этой угрозы.

Мимикрия под обновление ПО ViPNet

В ходе расследования мы установили, что обнаруженный бэкдор нацелен на компьютеры, подключенные к сетям ViPNet. ViPNet — это программный комплекс для создания защищенных сетей. Мы выяснили, что бэкдор распространялся в архивах с расширением .lzh, имеющих структуру, характерную для обновления этого ПО. Архивы содержали следующие файлы:

• action.inf — текстовый файл;
• lumpdiag.exe — легитимный исполняемый файл;
• msinfo32.exe — вредоносный исполняемый файл небольшого размера;
• зашифрованный файл, содержащий полезную нагрузку. Имя данного файла различается от архива к архиву.

Запуск вредоносного ПО

Проанализировав содержимое архива, мы установили, что текстовый файл action.inf содержит действие, которое исполняется компонентом службы обновления ViPNet (itcsrvup64.exe) при обработке архива:

Как можно понять из содержимого файла выше, при обработке команды extra_command службой обновления запускается файл lumpdiag.exe с аргументом --msconfig. Выше мы упомянули, что этот файл является легитимным — однако он подвержен технике подмены пути исполнения. Это позволяет злоумышленникам при его исполнении запустить вредоносный файл msinfo32.exe.

Загружаемая полезная нагрузка

Файл msinfo32.exe — это загрузчик, который читает зашифрованный файл с полезной нагрузкой. Он обрабатывает содержимое данного файла, чтобы загрузить в память бэкдор. Этот бэкдор обладает довольно универсальными возможностями — может соединяться с управляющим сервером по протоколу TCP, позволяя злоумышленнику, в частности, красть с зараженных компьютеров файлы и запускать дополнительные вредоносные компоненты. Решения «Лаборатории Касперского» детектируют его как HEUR:Trojan.Win32.Loader.gen.

Многоуровневая защита — ключ к предотвращению сложных кибератак

На протяжении лет сложность кибератак, проводимых APT-группировками, значительно возросла. Злоумышленники могут атаковать организации самыми необычными, неожиданными способами. Чтобы предотвращать целевые атаки высокого уровня сложности, необходимо использовать многоуровневую, эшелонированную защиту от киберугроз. Именно такая архитектура используется в наших продуктах линейки Kaspersky Symphony — они способны защищать бизнес от атак, подобных той, которая описана в этой статье.

Индикаторы компрометации

Полный список индикаторов компрометации доступен подписчикам нашего сервиса Kaspersky Threat Intelligence.

Хэш-суммы msinfo32.exe

018AD336474B9E54E1BD0E9528CA4DB5
28AC759E6662A4B4BE3E5BA7CFB62204
77DA0829858178CCFC2C0A5313E327C1
A5B31B22E41100EB9D0B9A27B9B2D8EF
E6DB606FA2B7E9D58340DF14F65664B8

Пути к вредоносным файлам