Хакеры атакуют российские организации через обновления ViPNet

3 мин
21
17 июля 2026

Новую целевую атаку HelloNet, нацеленную на крупные российские компании, обнаружили исследователи из «Лаборатории Касперского». Она идёт как минимум с мая 2026 года и всё ещё активна. Злоумышленники запускают вредоносные модули через систему обновления программно-аппаратного комплекса ViPNet. 

В одной из заражённых систем специалисты нашли подозрительный файл wtsapi32.dll в каталоге обновлений ViPNet. Он загружался вместе с легитимным компонентом, который стартует при включении компьютера. Этот файл оказался загрузчиком HelloInjector с задачей перенести выполнение в системный процесс svchost.exe и уже там запустить следующую нагрузку. Для этого модуль проверяет, где работает, и при необходимости ищет нужный процесс, а затем внедряет свой код. После этого файл запускается снова уже внутри svchost.exe и загружает вредонос.

Следующий компонент HelloProxy выполняет две функции — скрытого прокси и загрузчика новых модулей по командам от сервера управления. Модуль перехватывает работу сетевых функций и контролирует сокеты, используемые для связи с сервером злоумышленников. HelloProxy регистрирует входящие сообщения, записывает их в отдельный файл и начинает слушать порты 5003 и 5060, ожидая первые команды.

Чтобы отличить управляющий трафик от обычного, сначала он отправляет служебные данные, а затем ждёт ответ со строкой, по которой можно однозначно опознать сервер управления. После этого вредонос переходит к выполнению команд. В одном режиме он создаёт новые соединения и передаёт между ними трафик, в другом режиме — принимает новый исполняемый файл, загружает его в память и запускает без сохранения на диск.

Дальнейший анализ показал, что через эту цепочку в процессе svchost.exe появляются другие вредоносные модули. Один из них, HelloExecutor, используется для разведки в сети. С его помощью злоумышленники собирают информацию о пользователях, сетевых настройках, группах и каталогах, связанных с установкой ViPNet. Второй модуль, HelloCleaner, очищает журналы ViPNet и тем самым скрывает следы атаки.

Исследователи также зафиксировали использование каталога C:\Users\Public\Music. Оттуда запускался SSH-туннель при помощи переименованного клиента PuTTY. Через него строился канал от заражённой инфраструктуры к серверу 5.39.253[.]206. Такой канал позволял злоумышленникам управлять атакой и передавать данные, не привлекая внимания, только по имени файла.

Кроме того, на одной из машин нашли отдельный бэкдор на Rust, который получил имя HelloBackdoor. Он ждёт подключения на порту 443 и активируется только после получения специальной строки, связанной с MD5-хэшем короткого текста. После активации бэкдор может загружать файлы на заражённый компьютер, скачивать их обратно и выполнять произвольные команды через системную оболочку.

При попытке атрибуции в одном модуле обнаружен фрагмент HTTP-запроса к китайскому новостному порталу sina.com. В другом случае при разборе HelloBackdoor увидели ссылки на китайское зеркало для загрузки библиотек Rust.

Компания «ИнфоТеКС» также сообщила о новой атаке на ViPNet Client 4 и ViPNet Administrator. Для закрытия уязвимости эксперты рекомендуют установить обновления ViPNet Client 4 до указанных версий для сертифицированной и релизной сборки и обновить ViPNet Administrator до версии 4.6.11.5113 или выше. 

Важное по теме
Новости
Читать 3 минуты
16.07.2026
Сбой в логистике замороженной продукции затронул тысячи клиентов
Новости
Читать 3 минуты
16.07.2026
Большинство ИБ-директоров уверены, что топ-менеджмент недостаточно осознаёт риски
Новости
Читать 3 минуты
16.07.2026
В утечке — чертежи, данные о подрядчиках и документы по энергоблокам
Оставьте комментарий
Доступно для авторизованных пользователей
1/1000