ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
УПРАВЛЯЙТЕ РИСКАМИ — НЕ ЖДИТЕ АТАК
Пентест для устойчивости и соответствия требованиям
Реалистичная проверка внешнего периметра: выявляем уязвимости до злоумышленников и подтверждаем готовность вашего бизнеса к киберугрозам.
ПротестироватьРоссийские организации атакует бэкдор, мимикрирующий под обновления ПО ViPNet
В апреле 2025 года мы проводили расследование киберинцидента, в ходе которого обнаружили довольно сложный бэкдор. Его целями стали различные крупные организации в России, в том числе государственные, финансовые и промышленные. Несмотря на то что мы еще продолжаем исследовать связанную с этим бэкдором атаку, мы считаем нужным поделиться с сообществом предварительными результатами нашего расследования. Это позволит организациям, которые могут быть подвержены заражению обнаруженным бэкдором, оперативно защитить себя от этой угрозы.
Мимикрия под обновление ПО ViPNet
В ходе расследования мы установили, что обнаруженный бэкдор нацелен на компьютеры, подключенные к сетям ViPNet. ViPNet — это программный комплекс для создания защищенных сетей. Мы выяснили, что бэкдор распространялся в архивах с расширением .lzh, имеющих структуру, характерную для обновления этого ПО. Архивы содержали следующие файлы:
- action.inf — текстовый файл;
- lumpdiag.exe — легитимный исполняемый файл;
- msinfo32.exe — вредоносный исполняемый файл небольшого размера;
- зашифрованный файл, содержащий полезную нагрузку. Имя данного файла различается от архива к архиву.
Запуск вредоносного ПО
Проанализировав содержимое архива, мы установили, что текстовый файл action.inf содержит действие, которое исполняется компонентом службы обновления ViPNet (itcsrvup64.exe) при обработке архива:
[ACTION] action=extra_command extra_command=lumpdiag.exe --msconfig
Как можно понять из содержимого файла выше, при обработке команды extra_command службой обновления запускается файл lumpdiag.exe с аргументом
--msconfig. Выше мы упомянули, что этот файл является легитимным — однако он подвержен технике подмены пути исполнения. Это позволяет злоумышленникам при его исполнении запустить вредоносный файл msinfo32.exe.
Загружаемая полезная нагрузка
Файл msinfo32.exe — это загрузчик, который читает зашифрованный файл с полезной нагрузкой. Он обрабатывает содержимое данного файла, чтобы загрузить в память бэкдор. Этот бэкдор обладает довольно универсальными возможностями — может соединяться с управляющим сервером по протоколу TCP, позволяя злоумышленнику, в частности, красть с зараженных компьютеров файлы и запускать дополнительные вредоносные компоненты. Решения «Лаборатории Касперского» детектируют его как HEUR:Trojan.Win32.Loader.gen.
Многоуровневая защита — ключ к предотвращению сложных кибератак
На протяжении лет сложность кибератак, проводимых APT-группировками, значительно возросла. Злоумышленники могут атаковать организации самыми необычными, неожиданными способами. Чтобы предотвращать целевые атаки высокого уровня сложности, необходимо использовать многоуровневую, эшелонированную защиту от киберугроз. Именно такая архитектура используется в наших продуктах линейки Kaspersky Symphony — они способны защищать бизнес от атак, подобных той, которая описана в этой статье.
Индикаторы компрометации
Полный список индикаторов компрометации доступен подписчикам нашего сервиса Kaspersky Threat Intelligence.
Хэш-суммы msinfo32.exe
018AD336474B9E54E1BD0E9528CA4DB5
28AC759E6662A4B4BE3E5BA7CFB62204
77DA0829858178CCFC2C0A5313E327C1
A5B31B22E41100EB9D0B9A27B9B2D8EF
E6DB606FA2B7E9D58340DF14F65664B8
Пути к вредоносным файлам
%TEMP%\update_tmp*\update\msinfo32.exe
%PROGRAMFILES%\common files\infotecs\update_tmp\driv_*\*\msinfo32.exe
%PROGRAMFILESx86%\InfoTeCS\ViPNet Coordinator\ccc\update_tmp\DRIV_FSA\*\msinfo32.exe
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.
CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал
ПОВЫСЬТЕ КОМПЕТЕНЦИИ КОМАНДЫ
Бесплатное обучение по SC SIEM
Даем знания и навыки для эффективной работы.
Начать обучение