Эксперты «Лаборатории Касперского» совместно с командой по кибербезопасности «Т-Технологий» обнаружили новую вредоносную кампанию, целью которой стали десятки российских организаций из госсектора, финансовой отрасли и промышленности.
Атаки продолжаются, последние случаи зафиксированы в апреле 2025 года.
Злоумышленники использовали сложный бэкдор, классифицированный как HEUR:Trojan.Win32.Loader.gen, который распространялся под видом обновления для ViPNet Client, популярного решения для создания защищённых сетей. Вредоносный код маскировался под архивы с расширением .lzh, повторяющие структуру легитимных апдейтов ViPNet.
Как работает атака HEUR:Trojan.Win32.Loader.gen?
В архиве находились следующие файлы:
- action.inf — сценарий действия;
- lumpdiag.exe — легитимный исполняемый файл;
- msinfo32.exe — вредоносный загрузчик;
- зашифрованный файл с полезной нагрузкой (названия варьируются).
Механизм заражения основан на эксплуатации уязвимости подмены пути исполнения: при запуске lumpdiag.exe происходит активация трояна msinfo32.exe, который расшифровывает и загружает в память полноценный бэкдор.
Этот вредоносный компонент позволяет атакующим:
- соединяться с удалёнными серверами по протоколу TCP;
- красть файлы с заражённого устройства;
- запускать дополнительный вредоносный код.
«Злоумышленники всё чаще используют сложные механизмы маскировки и доставки вредоносного кода. Эта кампания — очередное подтверждение, что безопасность должна быть приоритетом. Мы рекомендуем всем организациям обратить внимание на процесс обновлений, использовать только проверенные источники и применять современные средства защиты», — отметил Игорь Кузнецов, директор Kaspersky GReAT.
Расследование продолжается, и специалисты пообещали опубликовать дополнительные детали в ближайшее время, чтобы организации могли оперативно принять меры и защититься от потенциальной угрозы.
Рекомендация: проверьте источники обновлений ViPNet, настройте мониторинг подозрительных файлов и процессов, а также обновите средства защиты до последних версий.
