Threat Response
Threat Response

Кампания HelloNet — новые вредоносные модули, которые запускаются через систему обновления ViPNet

UPD 16.07.2026: добавили правила и примеры детектирования с помощью KEDR Expert.

UPD 16.07.2026: добавлено выявление вредоносной кампании в сетевом трафике с помощью Kaspersky Anti Targeted Attack (KATA) с модулем NDR.

Мы обнаружили новую APT-атаку с использованием ранее неизвестного инструментария, которая началась как минимум в мае 2026 года и остается активной на момент публикации. Она примечательна тем, что используемые в ходе нее импланты запускались через систему обновления ViPNet (программный комплекс для создания защищенных сетей). В ходе нашего исследования мы выявили попытки целенаправленного заражения крупных российских организаций из государственного, энергетического, транспортного, образовательного и логистического секторов, а также промышленности. Это уже не первый случай, когда продвинутая группировка нацеливается на компьютеры, подключенные к сетям ViPNet. Например, в прошлом году мы обнаружили сложный бэкдор, мимикрирующий под обновления ViPNet.

Закрепление через систему обновления

В одной из проанализированных систем мы выявили вредоносный файл c именем wtsapi32.dll в директории C:\Program Files (x86)\InfoTeCS\VIPNet Update System, которая относится к системе обновления комплекса ViPNet. Помещая файл в эту директорию, злоумышленники реализуют технику DLL Sideloading — ей подвержен исполняемый файл системы обновлений ViPNet itcsrvup64.exe, который запускается при старте операционной системы. Таким образом, в ходе данной атаки злоумышленники пытались реализовать закрепление на системе через компонент обновления ПО ViPNet.

HelloInjector — загрузчик дополнительных вредоносных компонентов

Компонент wtsapi32.dll является загрузчиком, который мы назвали HelloInjector. Его основная цель — внедрить свой код в процесс svchost.exe и запустить вредоносную нагрузку. После запуска вредонос проверяет процесс, в контексте которого он был запущен. Если имя основного процесса не svchost.exe, загрузчик запускает перебор всех процессов, запущенных в операционной системе. Он ищет процесс, имя которого содержит строку svchost, а командная строка — строку netsvcs. Если такой процесс найден, загрузчик внедряет себя в целевой процесс с помощью функций NtWriteVirtualMemory и NtCreateThreadEx.

После повторного запуска в новом процессе загрузчик снова проверяет имя процесса на наличие строки svchost. Убедившись в успешной проверке, HelloInjector загружает и выполняет в памяти вредоносную нагрузку, которая хранится в его теле в открытом виде.

HelloProxy — инструмент для проксирования трафика и запуска новых вредоносных нагрузок

Вредоносная нагрузка, которую мы назвали HelloProxy, является одновременно скрытым прокси и загрузчиком следующих модулей, которые присылает командный сервер. Она работает за счет перехвата функций NtDeviceIoControlFile, closesocket и shutdown. Их перехват осуществляется с помощью Microsoft библиотеки Detours.
Обработчики функций closesocket и shutdown препятствуют преждевременному закрытию сокетов, которые используются для взаимодействия с С2. В свою очередь, обработчик функции NtDeviceIoControlFile содержит основную вредоносную логику. Его код реализует перехват двух IOCTL кодов:

  • AFD_RECV (0x12017)
  • AFD_GET_TDI_HANDLES (0x12037)

Эти коды используются во время работы с сокетами — их перехват позволяет вредоносу препятствовать защитным решениям, работающим в режиме пользователя для фильтрации сетевых подключений. Защитные решения «Лаборатории Касперского» детектируют подобную активность и предотвращают попытки заражения на всех этапах.

Обработчик AFD_GET_TDI_HANDLES отвечает за регистрацию сокета, а обработчик AFD_RECV инициирует обработку входящего трафика. Стоит отметить, что каждое поступившее сообщение, которое вызвало обработку AFD_RECV кода, логируется в файл C:\users\public\tesh4RPC.txt в формате: threadid: pid=\r\n
После установки перехватчиков, вредонос начинает прослушивать порты 5003 и 5060 в ожидании первых команд от С2 сервера. Для того, чтобы отличить трафик командного сервера от остального трафика, имплант реализует процесс рукопожатия: отправляет два байта 0x0502 через сокет и ожидает получить сообщение, содержащее строку ASDFASFSAFASDF. После успешного завершения рукопожатия, продолжается обработка входящих команд.
В зависимости от поступившей команды, есть две ветви исполнения:

  • Работа в качестве прокси. Вредонос принимает строки в виде :, после чего создает новые сокеты и начинает передавать трафик между ними.
  • Работа в качестве загрузчика. Вредонос принимает исполняемый файл от командного сервера, после чего загружает его в память собственного процесса и запускает в отдельном потоке.

В ходе исследования нам удалось обнаружить две вредоносные нагрузки, которые были внедрены в процесс svchost, вероятно в результате работы ранее описанного загрузчика:

  • Имплант, который мы назвали HelloExecutor, с помощью которого атакующие могут выполнять команды на зараженной системе;
  • Модуль для очистки файлов журналов ПО ViPNet, который мы назвали HelloCleaner. Он позволяет скрыть действия злоумышленников в системе.

Мы установили, что бэкдор HelloExecutor использовался для проведения разведки в сетях зараженных организаций. Исполнялись следующие шелл-команды:

В этих командах примечательно упоминание директории C:\Users\Public\Music. Мы установили, что на зараженных машинах злоумышленники использовали эту директорию при запуске SSH-туннеля из зараженной инфраструктуры к командному серверу атакующих (5.39.253[.]206). Злоумышленники запускали переименованный исполняемый файл легитимной утилиты PuTTy (клиента для различных протоколов удаленного доступа):

HelloBackdoor — бэкдор на языке Rust для манипуляций файловой системой

Помимо этого, на одной из зараженных систем был обнаружен бэкдор написанный на языке Rust, который мы назвали HelloBackdoor. Он принимает подключения на 443 порту, ожидая строки 47c6235b4d2611184 (вторая половина MD5-хэша строки «hello\n») для активации бэкдора. Этот бэкдор далее принимает следующие команды:

!upload — загрузить файл на зараженную машину

!down — выгрузить файл с зараженной машины

!stop — остановить работу бэкдора. Для этого создается и исполняется BAT-файл со следующим содержимым:

Если текст команды не совпал с выше перечисленными, команда выполняется с помощью cmd.exe.

Атрибуция

В ходе анализа одного из образцов DLL-файла wtsapi32.dll мы нашли неиспользуемую строку

Она отсылает к новостному порталу sina.com, популярному в Китае.

Кроме того, анализируя строки в бэкдоре HelloBackdoor, мы установили, что при компиляции осуществлялась загрузка пакетов (крейтов) Rust с зеркала mirrors.ustc.edu.cn. Скорее всего, данные строки остались во вредоносных файлах непреднамеренно. Однако нельзя исключать и вероятность использования «ложных флагов», внедренных злоумышленниками для усложнения процесса атрибуции. В настоящее время мы с низкой долей уверенности связываем данную кампанию с деятельностью неизвестной китайскоязычной APT-группировки.

Рекомендации

Учитывая, что ПО ViPNet не первый раз используется продвинутыми злоумышленниками для проведения кибератак, мы рекомендуем уделить особое внимание защите рабочих станций с данным ПО. В частности, следует настроить мониторинг сетевого трафика на указанных в статье портах для своевременного обнаружения признаков компрометации.

Противодействие сложным целевым атакам требует комплексного подхода, объединяющего технологии защиты, работающие на различных этапах жизненного цикла кибератаки. Такая многоуровневая модель безопасности помогает не только обнаруживать, но и предотвращать инциденты подобного класса. Данный подход заложен в архитектуру решений линейки Kaspersky Symphony, предназначенных для защиты бизнеса от угроз уровня APT, включая атаки, подобные описанной в этой статье.

Решения «Лаборатории Касперского» обнаруживают эту угрозу с помощью следующих вердиктов:

  • Trojan.Win32.Agentb.ttoe,
  • Trojan.Win64.Convagent.gen,
  • Trojan.Win64.Agent.smgpqx
  • HEUR:Trojan.Win64.DllHijacking.gen

Детектирование решениями «Лаборатории Касперского»


Защитные решения «Лаборатории Касперского», такие как Kaspersky Endpoint Detection and Response Expert, успешно обнаруживают вредоносную активность в рамках описанных атак.

Один из практических способов детектирования — мониторинг переименованных бинарников PuTTY/Plink, а не по имени файла: даже если исполняемый файл называется frontpage.exe, его PE-заголовок, версия, строки и хэш совпадают с оригинальным Plink, что подтверждается событиями EDR. Кроме того стоит обратить внимание на конкретную командную строку, с которой запущен процесс. Решение KEDR Expert детектирует эту активность с помощью правила using_plink_or_putty_for_port_forwarding.

Также важно отслеживать Process Injection в svchost.exe от процесса обновления ViPNet itcsrvup64.exe, поскольку легитимно этот компонент не должен внедрять код в системные процессы. Подобное поведение является характерным индикатором активности HelloInjector, использующего доверенный и подписанный процесс как маскировку вредоносной инъекции. Решение KEDR Expert детектирует эту активность с помощью правила vipnet_load_library_code_injection.


Еще один эффективный способ обнаружения вредоносной активности связанной с VinNet, — это мониторинг сетевого трафика. Решение Kaspersky Anti Targeted Attack (KATA) с модулем NDR обнаруживает данную активность с помощью IDS модуля и Suricata правила на активность бэкдора — HelloBackdoor.

Правило реализовано, опираясь на первый ожидаемый вредоносом пакет. Он принимает подключения по протоколу TCP на 443 порту, ожидая получения команды 47c6235b4d2611184 (часть MD5-хэша строки «hello\n«), которая активирует бэкдор.

Индикаторы компрометации

HelloBackdoor
16C211C96735F2FAE9361B89BD7A31BF
1BFE2B9493128574907A8279256A8BCC

wtsapi32.dll
B103CD21280B4061F88B2BCC51394894
9F5606A0755BC633B9BD7DB6D179C09E
0CFDFFC56F0FA325D0C4D24780B46597
5.39.253[.]206

Кампания HelloNet — новые вредоносные модули, которые запускаются через систему обновления ViPNet

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Отчеты

ToddyCat — ваш скрытый почтовый ассистент. Часть 2

Разбираем Umbrij — новый инструмент APT-группы ToddyCat для компрометации корпоративной переписки в сервисе Gmail. Целью атак стал токен авторизации OAuth, при помощи которого злоумышленники получали доступ к сервисам Google.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике