Атака через службу ViPNet MFTP: признаки компрометации и рекомендации

от автора

Специалистами экспертного центра безопасности Positive Technologies (PT ESC) зафиксированы признаки реализации злоумышленниками атаки через штатную функциональность службы ViPNet MFTP. На момент написания уведомления известная хронология атаки охватывает период как минимум с 1 июня по 14 июля 2026 года, а ее поверхность — как минимум 8 организаций.

Описание атаки

Посредством базовой функциональности транспортного протокола MFTP злоумышленники передают между клиентами файл-конверт (c расширением .ctl), содержащий вредоносную библиотеку wtsapi32.dll, которая загружается исполняемым файлом Itcsrvup64.Exe (компонент службы обновления ПО ViPNet) при помощи техники DLL Hijacking и сохраняется на файловую систему посредством техники Path Traversal по пути:

C:\ProgramData\InfoTeCS<9-значный_идентификатор_устройства>./…/…/…/program files (x86)/infotecs/vipnet update system/wtsapi32.dll.

wtsapi32.dll

Вредоносное ПО (ВПО) представляет собой загрузчик, хранящий в .data-секции исполняемый файл в виде DLL-библиотеки с измененными магическими байтами (magic bytes) заголовка. ВПО выполняет проверку контекста запуска. В случае запуска в контексте любого процесса, кроме svchost.exe, вредонос находит работающий экземпляр процесса svchost.exe с параметром netsvcs в командной строке и внедряет туда указанную библиотеку.

Основной функционал ВПО сводится к работе в режиме прокси-сервера для перенаправления сетевого трафика, а также загрузке дополнительных DLL-библиотек в адресное пространство и их выполнению.

В основе обработки команд малвари лежит диспетчер IOCTL-запросов, управляющий таблицей активных подключений через перехват WinAPI-функций NtDeviceIoControlFileclosesocket и shutdown. С помощью библиотеки Detours данная таблица блокирует преждевременное закрытие сетевых сокетов, а при получении запроса проверяет код операции — AFD_GET_TDI_HANDLES (0×12037) для регистрации нового сокета и AFD_RECV (0×12017) для инициации обработки входящего трафика. Дескрипторы сохраняются в таблицу (по 8344 байт на запись). При обработке кода 0×12017 вредонос записывает идентификаторы потока и процесса в файл C:\users\public\tesh4RPC.txt в формате threadid: pid=.

Параллельно с этим вредоносное ПО разворачивает TCP-сервер на сетевых портах 5003 и 5060, в бесконечном цикле принимая входящие подключения; для каждого клиента выделяется память под структуру сокета и создаётся отдельный поток с обработчиком, который через функцию select () (с таймаутом 200 микросекунд) непрерывно опрашивает сокет и читает данные порциями до 1024 байт через функцию recv (). После приема подключения и успешного «рукопожатия» между клиентом и сервером (отправка двух байт 0×0502 и получение строки ASDFASFSAFASDF) происходит обработка последующих данных: при получении сообщения в формате: <данные> ВПО создает новые сокеты и перенаправляет трафик между ними, работая как прокси; если же поступает исполняемый файл, загружает его в память собственного процесса и запускает в отдельном потоке.

Особо стоит отметить эпизод в конце мая 2026 года — на клиентские устройства VipNet был доставлен пакет обновления в виде .lzh-файла, содержащего образцы ВПО SetupCheck.dll и SetupChk.exe.

SetupChk.exe

ВПО считывает информацию из ключа реестра ОС Windows SOFTWARE\Wow6432Node\InfoTeCS\ITCSShared\AuthInfo, далее определяет версию клиента по ключу SOFTWARE\Infotecs\FeaturesAndComponents\Monitor_Feature (ожидает версию 4.5). Функциональность ВПО сводится к следующим действиям:

  • Зачистка журналов InfoTeCS:

    • C:\ProgramData\InfoTeCS\UpdateSystemData\UpdateSystem.Journal

    • C:\ProgramData\InfoTeCS\UpdateSystemData\updateservice.log.txt

    • C:\ProgramData\InfoTeCS\Mftp\mftp.debug.log

    • C:\Program Files (x86)\InfoTeCS\ViPNet Client\mftp.log

  • Сбор информации о системе: процессы, сетевые соединения, список установленного ПО и т. д.

  • Формирование вредоносного конверта m02smnrf.ctl.

Также в процессе расследования на скомпрометированных узлах VipNet был обнаружен ряд дополнительного ВПО, среди которого стоит выделить:

  • загрузчик Donnect (файл mocdng.dll), описанный в статье;

  • бэкдор ShadowRelay (файл Diagnosis.exe), описанный в статье (ниже представлена конфигурация обнаруженного экземпляра ВПО):

{    "mode": "client",     "proto": "tcp",     "svri": "154.89.152.59",     "svrp": 443,     "reconnintv": 459,     "enctype": "aes",     "aeskey": "]zf,.Hso'!x3|ezz/hzHzxa(P=x.bB.r",     "rsapubkey": "not set",     "rsaprikey": "not set",     "antidebug": 1,     "autodelete": 0,     "autostart": 0,     "portreuse": 0,     "envpara": "3ff18683a02d3aefab2f",     "targetprocess": "",     "usehttp": 0,     "servicename": "svcsvc",     "servicedesc": "OneDrive client application",     "beattimeout": 65}

Метод обнаружения

Для проверки факта реализации инцидента рекомендуется запустить на узлах VipNet PowerShell-команду для обнаружения вредоносной библиотеки или признаков использования уязвимости Path Traversal:

Get-ChildItem -Path “C:\ProgramData\Infotecs\Mftp” -File -Recurse | Select-String -Pattern “.dll|./../../../”

Пример результата выполнения команды в случае наличия соответствующих паттернов представлен ниже:

C:\ProgramData\Infotecs\Mftp\mftp.debug.log:166742:REDACTED [REDACTED]: File C:\ProgramData\InfoTeCS\REDACTED./…/…/…/program files (x86)/infotecs/vipnet update system/wtsapi32.dll with keepFlag=0 and fileSize=219136

Для проверки факта получения вредоносного обновления запустить на узлах VipNet PowerShell-команду для обнаружения соответствующих событий:

Get-ChildItem -Path “C:\ProgramData\Infotecs\UpdateSystemData” -File -Recurse | Select-String -Pattern “/driv_fs/”

Пример результата выполнения команды в случае наличия соответствующих паттернов представлен ниже:

C:\ProgramData\Infotecs\UpdateSystemData\updateservice.log.lo1:9157:REDACTED: Extracting file update/driv_fs/setup.exe.config C:\ProgramData\Infotecs\UpdateSystemData\updateservice.log.lo1:9158:REDACTED: Extracting file update/driv_fs/setupcheck.dll C:\ProgramData\Infotecs\UpdateSystemData\updateservice.log.lo1:9159:REDACTED: Extracting file update/driv_fs/setupchk.exe

При выявлении в рамках обнаружения признаков инцидента или подозрения на него специалисты Positive Technologies ESC готовы оказать поддержку в расследовании инцидента и обеспечении безопасности IT-инфраструктуры.

Рекомендации

Для нейтрализации угроз необходимо остановить и отключить службу ViPNet система обновления на каждом узле (АРМ/сервере) с установленным ПО ViPNet, а также запретить ее автоматический запуск.

Данная операция может быть выполнена двумя способами:

  • Вариант А. Ручная настройка (через графический интерфейс ViPNet):

    • Нажать Win + R, ввести services.msc и нажать Enter.

    • В списке служб найти ViPNet система обновления (или ViPNet Update System).

    • Открыть свойства службы (двойной клик).

    • В поле Тип запуска выбрать Отключена (Disabled). Нажать кнопку Стоп (Stop).

    • Нажать Применить и ОК.

  • Вариант Б. Автоматизированная настройка (через PowerShell/CMD от имени УЗ администратора) — выполнить последовательно следующие команды для остановки и отключения службы:

powershell # Остановка службы Stop-Service -Name "itcsrvup" -Force # Установка типа запуска "Отключена" Set-Service -Name " itcsrvup" -StartupType Disabled

Дополнительно необходимо отключить на координаторах HW и xFirewall службу MFTP при помощи команды mftp stop.

Также необходимо отслеживать появление индикаторов компрометации на узлах и в сети и оперативно и своевременно обновлять компоненты ПО VipNet.

Индикаторы компрометации

Образцы ВПО

ИМЯ ФАЙЛА

ХЭШ

SetupCheck.dll

8b089163edb36e7a65baccb8ab317895162057a1acb2a5dc59dffd3d03c7cdb5

SetupChk.exe

7d0e3efe656a28251e6460af1baa489ea6a07053a4bc6578edba659ab28afd5d

Rngpkcsmgr.exe

Rngsdkcfg.exe

68b4c76a2280e3c31130d4de12b12dfd479a476f347f5b4a58cb2483d74aba7e

wtsapi32.dll

841aea34ca81577468c3a5ab3039370a83cd9dca7ad95af092a9a22b661ec3f1

wtsapi32.dll

b8192bb83d5d33bf6e32879d2bfb783cbbd3df6ded23206867161f091897d4c4

wtsapi32.dll

ffdc194775b2904564bbbd1cf0eb01d1a01f83ef5197d1612b6e2d69de7a4732

5e462c89def65cbdddbd3ae78a1e281400199143af330e976384416cf466b9d8

m02smnrf.ctl

mocdng.dll

e19adeaaa9f19f2cf0460d9f61ff54e90b5de30c2cd8d1db04fdf8afaa243295

update.bat

bc34b8d8bc320c5fa1d280e6a7ca876950047d2ee0520b0f5e49bb49481e987d

info.bat

4921e2f1fb2ef81862e6727bbac653c8e66fd2132529205798788981905151fc

odcitvmd.dll

82dd0af848118009709639d75ca43bd9

msvdplib.dll

5384157b66e9976c9a1c8429d236b512

mustd.exe

13d8d4f4fa483111e4372a6925d24e28f3be082a2ea8f44304384982bd692ec9

Diagnosis.exe

c2f2a6a28d41ac243455a30c4ab39af13ed647e43d00eb69c14482e9314e9140

Остальные файловые индикаторы

ИНДИКАТОР

ЗНАЧЕНИЕ

ФАЙЛЫ

C:\Users\Public\tesh4RPC.txt

C:\users\public\ntusers.logs

C:\ProgramData\InfoTeCS\<9-значный_идентификатор_устройства>\ccc\wtsapi32.up1

C:\users\public\music\info.bat

c:\users\public\music\up.zip

c:\users\public\music\res.log

c:\users\public\music\mustd.exe

СЕРВИС

Network Monitor Serial Service

OneDrive client application

Ntmssvc

Svcsvc

Сетевые индикаторы

IP-АДРЕС

СТРАНА

ОРГАНИЗАЦИЯ

123.58.203.41

India

AS135377 UCLOUD INFORMATION TECHNOLOGY (HK) LIMITED

154.89.152.59

Malaysia

AS139923 ABCCLOUD SDN.BHD.

31.57.35.21

United Kingdom

AS21859 Zenlayer Inc

5.39.253.206

Kazakhstan

AS49791 Newserverlife LLC

ссылка на оригинал статьи https://habr.com/ru/articles/1060016/