В апреле 2025 года мы проводили расследование киберинцидента, в ходе которого обнаружили довольно сложный бэкдор. Его целями стали различные крупные организации в России, в том числе государственные, финансовые и промышленные. Несмотря на то что мы еще продолжаем исследовать связанную с этим бэкдором атаку, мы считаем нужным поделиться с сообществом предварительными результатами нашего расследования. Это позволит организациям, которые могут быть подвержены заражению обнаруженным бэкдором, оперативно защитить себя от этой угрозы.
Оглавление
Мимикрия под обновление ПО ViPNet
В ходе расследования мы установили, что обнаруженный бэкдор нацелен на компьютеры, подключенные к сетям ViPNet. ViPNet — это программный комплекс для создания защищенных сетей. Мы выяснили, что бэкдор распространялся в архивах с расширением .lzh, имеющих структуру, характерную для обновления этого ПО. Архивы содержали следующие файлы:
action.inf — текстовый файл;
lumpdiag.exe — легитимный исполняемый файл;
msinfo32.exe — вредоносный исполняемый файл небольшого размера;
зашифрованный файл, содержащий полезную нагрузку. Имя данного файла различается от архива к архиву.
Запуск вредоносного ПО
Проанализировав содержимое архива, мы установили, что текстовый файл action.inf содержит действие, которое исполняется компонентом службы обновления ViPNet (itcsrvup64.exe) при обработке архива:
[ACTION] action=extra_commandextra_command=lumpdiag.exe –msconfig
Как можно понять из содержимого файла выше, при обработке команды extra_command службой обновления запускается файл lumpdiag.exe с аргументом
–msconfig. Выше мы упомянули, что этот файл является легитимным — однако он подвержен технике подмены пути исполнения. Это позволяет злоумышленникам при его исполнении запустить вредоносный файл msinfo32.exe.
Загружаемая полезная нагрузка
Файл msinfo32.exe — это загрузчик, который читает зашифрованный файл с полезной нагрузкой. Он обрабатывает содержимое данного файла, чтобы загрузить в память бэкдор. Этот бэкдор обладает довольно универсальными возможностями — может соединяться с управляющим сервером по протоколу TCP, позволяя злоумышленнику, в частности, красть с зараженных компьютеров файлы и запускать дополнительные вредоносные компоненты. Решения «Лаборатории Касперского» детектируют его как HEUR:Trojan.Win32.Loader.gen.
Многоуровневая защита — ключ к предотвращению сложных кибератак
На протяжении лет сложность кибератак, проводимых APT-группировками, значительно возросла. Злоумышленники могут атаковать организации самыми необычными, неожиданными способами. Чтобы предотвращать целевые атаки высокого уровня сложности, необходимо использовать многоуровневую, эшелонированную защиту от киберугроз. Именно такая архитектура используется в наших продуктах линейки Kaspersky Symphony — они способны защищать бизнес от атак, подобных той, которая описана в этой статье.
Индикаторы компрометации
Полный список индикаторов компрометации доступен подписчикам нашего сервиса Kaspersky Threat Intelligence.
Хэш-суммы msinfo32.exe
018AD336474B9E54E1BD0E9528CA4DB5
28AC759E6662A4B4BE3E5BA7CFB62204
77DA0829858178CCFC2C0A5313E327C1
A5B31B22E41100EB9D0B9A27B9B2D8EF
E6DB606FA2B7E9D58340DF14F65664B8
Пути к вредоносным файлам
%TEMP%update_tmp*updatemsinfo32.exe
%PROGRAMFILES%common filesinfotecsupdate_tmpdriv_**msinfo32.exe
%PROGRAMFILESx86%InfoTeCSViPNet Coordinatorcccupdate_tmpDRIV_FSA*msinfo32.exe
Securelist