В ходе совместного исследования эксперты «Лаборатории Касперского» и эксперты кибербезопасности «Т-Технологий» обнаружили новый сложный бэкдор (HEUR:Trojan.Win32.Loader.gen в классификации «Лаборатории Касперского»). Неизвестная APT-группировка использовала его для кибершпионажа в сетях десятков российских организаций.
По данным экспертов, с этой вредоносной кампанией столкнулись организации, в том числе, из госсектора, финансовой сферы и промышленности. Последние инциденты зафиксированы совсем недавно — в апреле 2025 года.
Сообщается, что малварь была нацелена на компьютеры, подключенные к сети ViPNet — программного комплекса для создания защищенных сетей. Он распространяется, мимикрируя под обновление ViPNet Client, в архивах с расширением .lzh, имеющих структуру, характерную для обновления этого ПО. Архивы содержали следующие файлы:
• action.inf — текстовый файл;
• lumpdiag.exe — легитимный исполняемый файл;
• msinfo32.exe — вредоносный исполняемый файл небольшого размера;
• зашифрованный файл, содержащий полезную нагрузку (имя файла различается от архива к архиву).
Изучение этой кампании еще продолжается и опубликовано не так много деталей, но исследователи сочли, что важно поделиться с сообществом предварительными результатами расследования, чтобы организации могли защитить себя от этой угрозы.
Проанализировав содержимое архива, исследователи установили, что текстовый файл action.inf содержит действие, которое исполняется компонентом службы обновления ViPNet (itcsrvup64.exe). При обработке команды extra_command службой обновления запускается файл lumpdiag.exe с аргументом --msconfig. Этот файл является легитимным, однако он подвержен технике подмены пути исполнения, что позволяет злоумышленникам запустить вредоносный файл msinfo32.exe.
Файл msinfo32.exe представляет собой загрузчик, который читает зашифрованный файл с полезной нагрузкой. Он обрабатывает содержимое данного файла, чтобы загрузить в память бэкдор.
Сам бэкдор обладает универсальными возможностями — может соединяться с управляющим сервером злоумышленников с помощью TCP, позволяя, в частности, красть с зараженных компьютеров файлы и запускать дополнительные вредоносные компоненты.
«Злоумышленники постоянно развивают свои методы и ищут новые лазейки для кибератак. Поэтому организациям крайне важно фокусироваться на информационной безопасности: обучать сотрудников цифровой грамотности, держать их в курсе актуальных тактик, техник и процедур, а также использовать надежные защитные решения от проверенных вендоров, чтобы своевременно реагировать на возникающие угрозы. Мы продолжаем исследование и в ближайшее время планируем раскрыть новые детали», — комментирует Игорь Кузнецов, директор Kaspersky GReAT.
