Хакеры атакуют российские организации через обновления ViPNet
Новую целевую атаку HelloNet, нацеленную на крупные российские компании, обнаружили исследователи из «Лаборатории Касперского». Она идёт как минимум с мая 2026 года и всё ещё активна. Злоумышленники запускают вредоносные модули через систему обновления программно-аппаратного комплекса ViPNet.
В одной из заражённых систем специалисты нашли подозрительный файл wtsapi32.dll в каталоге обновлений ViPNet. Он загружался вместе с легитимным компонентом, который стартует при включении компьютера. Этот файл оказался загрузчиком HelloInjector с задачей перенести выполнение в системный процесс svchost.exe и уже там запустить следующую нагрузку. Для этого модуль проверяет, где работает, и при необходимости ищет нужный процесс, а затем внедряет свой код. После этого файл запускается снова уже внутри svchost.exe и загружает вредонос.
Следующий компонент HelloProxy выполняет две функции — скрытого прокси и загрузчика новых модулей по командам от сервера управления. Модуль перехватывает работу сетевых функций и контролирует сокеты, используемые для связи с сервером злоумышленников. HelloProxy регистрирует входящие сообщения, записывает их в отдельный файл и начинает слушать порты 5003 и 5060, ожидая первые команды.
Чтобы отличить управляющий трафик от обычного, сначала он отправляет служебные данные, а затем ждёт ответ со строкой, по которой можно однозначно опознать сервер управления. После этого вредонос переходит к выполнению команд. В одном режиме он создаёт новые соединения и передаёт между ними трафик, в другом режиме — принимает новый исполняемый файл, загружает его в память и запускает без сохранения на диск.
Дальнейший анализ показал, что через эту цепочку в процессе svchost.exe появляются другие вредоносные модули. Один из них, HelloExecutor, используется для разведки в сети. С его помощью злоумышленники собирают информацию о пользователях, сетевых настройках, группах и каталогах, связанных с установкой ViPNet. Второй модуль, HelloCleaner, очищает журналы ViPNet и тем самым скрывает следы атаки.
Исследователи также зафиксировали использование каталога C:\Users\Public\Music. Оттуда запускался SSH-туннель при помощи переименованного клиента PuTTY. Через него строился канал от заражённой инфраструктуры к серверу 5.39.253[.]206. Такой канал позволял злоумышленникам управлять атакой и передавать данные, не привлекая внимания, только по имени файла.
Кроме того, на одной из машин нашли отдельный бэкдор на Rust, который получил имя HelloBackdoor. Он ждёт подключения на порту 443 и активируется только после получения специальной строки, связанной с MD5-хэшем короткого текста. После активации бэкдор может загружать файлы на заражённый компьютер, скачивать их обратно и выполнять произвольные команды через системную оболочку.
При попытке атрибуции в одном модуле обнаружен фрагмент HTTP-запроса к китайскому новостному порталу sina.com. В другом случае при разборе HelloBackdoor увидели ссылки на китайское зеркало для загрузки библиотек Rust.
Компания «ИнфоТеКС» также сообщила о новой атаке на ViPNet Client 4 и ViPNet Administrator. Для закрытия уязвимости эксперты рекомендуют установить обновления ViPNet Client 4 до указанных версий для сертифицированной и релизной сборки и обновить ViPNet Administrator до версии 4.6.11.5113 или выше.