
Специалистами экспертного центра безопасности Positive Technologies (PT ESC) зафиксированы признаки реализации злоумышленниками атаки через штатную функциональность службы ViPNet MFTP. На момент написания уведомления известная хронология атаки охватывает период как минимум с 1 июня по 14 июля 2026 года, а ее поверхность — как минимум 8 организаций.
Описание атаки
Посредством базовой функциональности транспортного протокола MFTP злоумышленники передают между клиентами файл-конверт (c расширением .ctl), содержащий вредоносную библиотеку wtsapi32.dll, которая загружается исполняемым файлом Itcsrvup64.Exe (компонент службы обновления ПО ViPNet) при помощи техники DLL Hijacking и сохраняется на файловую систему посредством техники Path Traversal по пути:
C:\ProgramData\InfoTeCS<9-значный_идентификатор_устройства>./…/…/…/program files (x86)/infotecs/vipnet update system/wtsapi32.dll.
wtsapi32.dll
Вредоносное ПО (ВПО) представляет собой загрузчик, хранящий в .data-секции исполняемый файл в виде DLL-библиотеки с измененными магическими байтами (magic bytes) заголовка. ВПО выполняет проверку контекста запуска. В случае запуска в контексте любого процесса, кроме svchost.exe, вредонос находит работающий экземпляр процесса svchost.exe с параметром netsvcs в командной строке и внедряет туда указанную библиотеку.
Основной функционал ВПО сводится к работе в режиме прокси-сервера для перенаправления сетевого трафика, а также загрузке дополнительных DLL-библиотек в адресное пространство и их выполнению.
В основе обработки команд малвари лежит диспетчер IOCTL-запросов, управляющий таблицей активных подключений через перехват WinAPI-функций NtDeviceIoControlFile, closesocket и shutdown. С помощью библиотеки Detours данная таблица блокирует преждевременное закрытие сетевых сокетов, а при получении запроса проверяет код операции — AFD_GET_TDI_HANDLES (0×12037) для регистрации нового сокета и AFD_RECV (0×12017) для инициации обработки входящего трафика. Дескрипторы сохраняются в таблицу (по 8344 байт на запись). При обработке кода 0×12017 вредонос записывает идентификаторы потока и процесса в файл C:\users\public\tesh4RPC.txt в формате threadid: pid=.
Параллельно с этим вредоносное ПО разворачивает TCP-сервер на сетевых портах 5003 и 5060, в бесконечном цикле принимая входящие подключения; для каждого клиента выделяется память под структуру сокета и создаётся отдельный поток с обработчиком, который через функцию select () (с таймаутом 200 микросекунд) непрерывно опрашивает сокет и читает данные порциями до 1024 байт через функцию recv (). После приема подключения и успешного «рукопожатия» между клиентом и сервером (отправка двух байт 0×0502 и получение строки ASDFASFSAFASDF) происходит обработка последующих данных: при получении сообщения в формате: <данные> ВПО создает новые сокеты и перенаправляет трафик между ними, работая как прокси; если же поступает исполняемый файл, загружает его в память собственного процесса и запускает в отдельном потоке.
Особо стоит отметить эпизод в конце мая 2026 года — на клиентские устройства VipNet был доставлен пакет обновления в виде
.lzh-файла, содержащего образцы ВПОSetupCheck.dllиSetupChk.exe.
SetupChk.exe
ВПО считывает информацию из ключа реестра ОС Windows SOFTWARE\Wow6432Node\InfoTeCS\ITCSShared\AuthInfo, далее определяет версию клиента по ключу SOFTWARE\Infotecs\FeaturesAndComponents\Monitor_Feature (ожидает версию 4.5). Функциональность ВПО сводится к следующим действиям:
-
Зачистка журналов InfoTeCS:
-
C:\ProgramData\InfoTeCS\UpdateSystemData\UpdateSystem.Journal
-
C:\ProgramData\InfoTeCS\UpdateSystemData\updateservice.log.txt
-
C:\ProgramData\InfoTeCS\Mftp\mftp.debug.log
-
C:\Program Files (x86)\InfoTeCS\ViPNet Client\mftp.log
-
-
Сбор информации о системе: процессы, сетевые соединения, список установленного ПО и т. д.
-
Формирование вредоносного конверта
m02smnrf.ctl.
Также в процессе расследования на скомпрометированных узлах VipNet был обнаружен ряд дополнительного ВПО, среди которого стоит выделить:
-
загрузчик Donnect (файл
mocdng.dll), описанный в статье; -
бэкдор ShadowRelay (файл
Diagnosis.exe), описанный в статье (ниже представлена конфигурация обнаруженного экземпляра ВПО):
{ "mode": "client", "proto": "tcp", "svri": "154.89.152.59", "svrp": 443, "reconnintv": 459, "enctype": "aes", "aeskey": "]zf,.Hso'!x3|ezz/hzHzxa(P=x.bB.r", "rsapubkey": "not set", "rsaprikey": "not set", "antidebug": 1, "autodelete": 0, "autostart": 0, "portreuse": 0, "envpara": "3ff18683a02d3aefab2f", "targetprocess": "", "usehttp": 0, "servicename": "svcsvc", "servicedesc": "OneDrive client application", "beattimeout": 65}
Метод обнаружения
Для проверки факта реализации инцидента рекомендуется запустить на узлах VipNet PowerShell-команду для обнаружения вредоносной библиотеки или признаков использования уязвимости Path Traversal:
Get-ChildItem -Path “C:\ProgramData\Infotecs\Mftp” -File -Recurse | Select-String -Pattern “.dll|./../../../”
Пример результата выполнения команды в случае наличия соответствующих паттернов представлен ниже:
C:\ProgramData\Infotecs\Mftp\mftp.debug.log:166742:REDACTED [REDACTED]: File C:\ProgramData\InfoTeCS\REDACTED./…/…/…/program files (x86)/infotecs/vipnet update system/wtsapi32.dll with keepFlag=0 and fileSize=219136
Для проверки факта получения вредоносного обновления запустить на узлах VipNet PowerShell-команду для обнаружения соответствующих событий:
Get-ChildItem -Path “C:\ProgramData\Infotecs\UpdateSystemData” -File -Recurse | Select-String -Pattern “/driv_fs/”
Пример результата выполнения команды в случае наличия соответствующих паттернов представлен ниже:
C:\ProgramData\Infotecs\UpdateSystemData\updateservice.log.lo1:9157:REDACTED: Extracting file update/driv_fs/setup.exe.config C:\ProgramData\Infotecs\UpdateSystemData\updateservice.log.lo1:9158:REDACTED: Extracting file update/driv_fs/setupcheck.dll C:\ProgramData\Infotecs\UpdateSystemData\updateservice.log.lo1:9159:REDACTED: Extracting file update/driv_fs/setupchk.exe
При выявлении в рамках обнаружения признаков инцидента или подозрения на него специалисты Positive Technologies ESC готовы оказать поддержку в расследовании инцидента и обеспечении безопасности IT-инфраструктуры.
Рекомендации
Для нейтрализации угроз необходимо остановить и отключить службу ViPNet система обновления на каждом узле (АРМ/сервере) с установленным ПО ViPNet, а также запретить ее автоматический запуск.
Данная операция может быть выполнена двумя способами:
-
Вариант А. Ручная настройка (через графический интерфейс ViPNet):
-
Нажать Win + R, ввести
services.mscи нажать Enter. -
В списке служб найти
ViPNet система обновления(или ViPNet Update System). -
Открыть свойства службы (двойной клик).
-
В поле
Тип запускавыбратьОтключена(Disabled). Нажать кнопкуСтоп(Stop). -
Нажать
ПрименитьиОК.
-
-
Вариант Б. Автоматизированная настройка (через PowerShell/CMD от имени УЗ администратора) — выполнить последовательно следующие команды для остановки и отключения службы:
powershell # Остановка службы Stop-Service -Name "itcsrvup" -Force # Установка типа запуска "Отключена" Set-Service -Name " itcsrvup" -StartupType Disabled
Дополнительно необходимо отключить на координаторах HW и xFirewall службу MFTP при помощи команды mftp stop.
Также необходимо отслеживать появление индикаторов компрометации на узлах и в сети и оперативно и своевременно обновлять компоненты ПО VipNet.
Индикаторы компрометации
Образцы ВПО
|
ИМЯ ФАЙЛА |
ХЭШ |
|---|---|
|
SetupCheck.dll |
8b089163edb36e7a65baccb8ab317895162057a1acb2a5dc59dffd3d03c7cdb5 |
|
SetupChk.exe |
7d0e3efe656a28251e6460af1baa489ea6a07053a4bc6578edba659ab28afd5d |
|
Rngpkcsmgr.exe |
— |
|
Rngsdkcfg.exe |
68b4c76a2280e3c31130d4de12b12dfd479a476f347f5b4a58cb2483d74aba7e |
|
wtsapi32.dll |
841aea34ca81577468c3a5ab3039370a83cd9dca7ad95af092a9a22b661ec3f1 |
|
wtsapi32.dll |
b8192bb83d5d33bf6e32879d2bfb783cbbd3df6ded23206867161f091897d4c4 |
|
wtsapi32.dll |
ffdc194775b2904564bbbd1cf0eb01d1a01f83ef5197d1612b6e2d69de7a4732 |
|
— |
5e462c89def65cbdddbd3ae78a1e281400199143af330e976384416cf466b9d8 |
|
m02smnrf.ctl |
— |
|
mocdng.dll |
e19adeaaa9f19f2cf0460d9f61ff54e90b5de30c2cd8d1db04fdf8afaa243295 |
|
update.bat |
bc34b8d8bc320c5fa1d280e6a7ca876950047d2ee0520b0f5e49bb49481e987d |
|
info.bat |
4921e2f1fb2ef81862e6727bbac653c8e66fd2132529205798788981905151fc |
|
odcitvmd.dll |
82dd0af848118009709639d75ca43bd9 |
|
msvdplib.dll |
5384157b66e9976c9a1c8429d236b512 |
|
mustd.exe |
13d8d4f4fa483111e4372a6925d24e28f3be082a2ea8f44304384982bd692ec9 |
|
Diagnosis.exe |
c2f2a6a28d41ac243455a30c4ab39af13ed647e43d00eb69c14482e9314e9140 |
Остальные файловые индикаторы
|
ИНДИКАТОР |
ЗНАЧЕНИЕ |
|---|---|
|
ФАЙЛЫ |
C:\Users\Public\tesh4RPC.txt |
|
C:\users\public\ntusers.logs |
|
|
C:\ProgramData\InfoTeCS\<9-значный_идентификатор_устройства>\ccc\wtsapi32.up1 |
|
|
C:\users\public\music\info.bat |
|
|
c:\users\public\music\up.zip |
|
|
c:\users\public\music\res.log |
|
|
c:\users\public\music\mustd.exe |
|
|
СЕРВИС |
Network Monitor Serial Service |
|
OneDrive client application |
|
|
Ntmssvc |
|
|
Svcsvc |
Сетевые индикаторы
|
IP-АДРЕС |
СТРАНА |
ОРГАНИЗАЦИЯ |
|---|---|---|
|
123.58.203.41 |
India |
AS135377 UCLOUD INFORMATION TECHNOLOGY (HK) LIMITED |
|
154.89.152.59 |
Malaysia |
AS139923 ABCCLOUD SDN.BHD. |
|
31.57.35.21 |
United Kingdom |
AS21859 Zenlayer Inc |
|
5.39.253.206 |
Kazakhstan |
AS49791 Newserverlife LLC |
ссылка на оригинал статьи https://habr.com/ru/articles/1060016/