Сообщить об инциденте
Сообщить об инциденте
Угроза распространения ВПО через систему обновления ViPNet

Угроза распространения ВПО через систему обновления ViPNet

Угроза распространения ВПО через систему обновления ViPNet
Скачать Бюллетень ИБ - 17.07.2026

Дата распространения:
 2026-07-17

Идентификатор: AM-2026-ALE-0717-02

Описание угрозы:

Требования к атакующему: Удаленный аутентифицированный в смежной сети ViPNet c узла с ролью ЦУС (Центр управления сетью)

Максимальный результат атаки: Компрометация системы, эксфильтрация данных, исполнение произвольных команд.

Сценарий атаки: Специалистами АО "ПМ" зафиксированы множественные попытки распространения ВПО. Для обеспечения первоначального доступа злоумышленники отправляли специально сформированный .ctl-конверт, содержащий вредоносную полезную нагрузку:

Бэкдор HelloBackdoor "Rngsdkcfg.Exe".

Данный бэкдор представлял собой 32-битный Windows PE, написанный на языке Rust и упакованный модифицированной версией UPX. После распаковки образец, представляющий собой server-side бэкдор, прослушивал входящие TLS/WebSocket соединения на локальном узле, на портах 443 и 5003, и принимал подключения оператора C2 для выполнения команд.

Функциональные возможности ВПО позволяли управлять им с помощью команд !check, !upload, !down, !addlife, !stop. При этом оператором могли быть исполнены произвольные команды ОС, файловые операции сохранения и удаления.

Кроме того, бэкдор воздействовал на компонент ViPNet через сервис iplircontrol путем выполнения следующих действий: создание временного файла "*.batcmd.exe"; исполнение команд "sc stop iplircontrol", timeout 5, sc start iplircontrol и удаление BAT-файла.

Компоненты стилера: Setup.exe/SetupChk.exe/SetupCheck.exe, содержащиеся в update.lzh.

Нарушитель в дополнение к легитимному подписанному пакету обновления update.lzh «рядом» добавил несколько дополнительных файлов с вирусной нагрузкой (Setup.exe.config, SetupCheck.dll и SetupChk.exe). Далее, дополнительные пакеты при обработке обновления, используя недостаток обработки относительных путей, извлекались сразу во временную папку обновления.

И следующим шагом, для запуска доставленной вирусной нагрузки была проэксплуатирована уязвимость .NET, позволяющая осуществить запуск Setup.exe из легитимного пакета обновлений с дополнительными инструкциями. При запуске Setup.exe, он обнаруживал лежащий рядом Setup.exe.config, воспринимал его как конфигурационный файл и следовал содержащимся в нем инструкциям. Финальным исполняемым файлом в цепочке являлся SetupCheck.dll, который представляется из себя средство разведки и сбора информации о целевой системе под управлением ViPNet. Таким образом, были последовательно проэксплуатированы 4 уязвимости 4 разных технологий, что отдельно говорит об уровне нарушителя.

После успешного сбора информации вредоносным ПО создавался zip-архив в директории %TEMP%, с наименованием вида: "u***.0", куда помещался файл с расширением .lock, в котором содержалась информация о конфигурации узла, ОС и сети. Шифрование архива было реализовано с помощью ZipCrypto.

Эксфильтрация сформированного архива происходила путем создания .ctl-конверта и его отправки с помощью службы ViPNet MFTP.

Стоит отметить, что в стилере заложены механизмы усечения и удаления журналов ViPNet для сокрытия своих следов.

На что направлены: 

ОС семейства Windows, содержащие ПО ViPNet

Меры противодействия:

Провести аудит файловой системы на наличие подозрительных образцов:

  • "Rngsdkcfg.exe"
  • "Rngpkcsmgr.exe"
  • "server_updown.exe"
  • "server_updown.pdb"
  • "*.batcmd.exe"

Провести аудит каталогов на наличие подозрительных файлов:

  • "C:\Windows\Temp"
  • "C:\ProgramData"
  • "C:\Users\*\AppData\Local\Temp"
  • "C:\Program Files"
  • "C:\Program Files (x86)"
  • "C:\Program Files\Common Files\InfoTeCS"
  • "C:\ProgramData\InfoTeCS"

Осуществить проверку ветви реестра:

  • "HKLM\SYSTEM\CurrentControlSet\Services\ScNetSvc"
  • "HKLM\SYSTEM\CurrentControlSet\Services\ScNetSvc\Parameters"
  • "HKLM\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Svchost\netsvcs"
  • "HKCU/HKLM\Software\Microsoft\Windows\CurrentVersion\Run"
  • "HKCU/HKLM\Software\Microsoft\Windows\CurrentVersion\ RunOnce"
  • "HKCU\Software\Classes\CLSID\{d9144dcd‐e998‐4eca‐ab6a‐dcd83ccba16d}\InprocServer32"
Провести аудит узлов на предмет НСД (в том числе сбоев, критических ошибок, несанкционированного изменения файлов конфигурации, внедрения ВПО)

Провести антивирусную проверку на узлах. Убедиться, что установлены актуальные базы сигнатур

Ограничить доступ к следующим файлам, имеющим отношение к распространению ВПО (см. Приложение 1)

Ограничить доступ к следующим сетевым ресурсам, имеющим отношение к С2-серверам злоумышленников:

  • 5.39.253[.]206
  • 5.39.253[.]210
  • 31.57.35[.]21
  • 104.238.24[.]156
  • 123.58.203[.]41
  • 154.89.152[.]59

Использовать правила ViPNet IDS NS:

  • sid 3436417 "AM CURRENT_EVENTS HTTP request to malicious IP endpoint in header 5.39.253.206 (possible Chinese APT (HelloNet))"
  • sid 3436421 "AM CURRENT_EVENTS HTTP request to malicious IP endpoint in header 5.39.253.210 (possible Chinese APT (HelloNet))"
  • sid 3436416 "AM CURRENT_EVENTS HTTP request to malicious IP endpoint in header 31.57.35.21 (possible Chinese APT (HelloNet))"
  • sid 3436420 "AM CURRENT_EVENTS HTTP request to malicious IP endpoint in header 104.238.24.156 (possible Chinese APT (HelloNet))"
  • sid 3436414 "AM CURRENT_EVENTS HTTP request to malicious IP endpoint in header 123.58.203.41 (possible Chinese APT (HelloNet))"
  • sid 3436415 "AM CURRENT_EVENTS HTTP request to malicious IP endpoint in header 154.89.152.59 (possible Chinese APT (HelloNet))
Использовать правила ViPNet IDS HS / ViPNet EPP:

  • sid 907542 "Windows_Backdoor_RustUSTCMirror_V1"
  • sid 907539 "Windows_Backdoor_RustUPXPacked_V1"
  • sid 907540 "Windows_Backdoor_RustWSSUnpacked_V1"
  • sid 907541 "Windows_Backdoor_RustSelfDestruct_V1"
  • sid 907536 "Windows_Loader_AppDomainManager_V1"
  • sid 907538 "Windows_Trojan_ITCSProtocol_V1"
  • sid 907537 "Windows_Trojan_ITCSCredStealer_V1"

Ссылки на источники:

https://infotecs.ru/press-center/publications/razyasneniya-kompanii-infotecs-po-intsidentu-svyazannomu-s-rasprostraneniem-vredonosnogo-po/

Над бюллетенем работали: Галкин Николай, Рудзик Александр, Стрельцова Кристина

Приложение 1

Файловые индикаторы компрометации

Индикаторы компрометации, зафиксированные во вредоносной активности:

Setup.exe

09ab4fe65e60f894bdc05486f633e6169c19cb0a7ef4bb48124246da82caa3f3

SetupCheck.dll

8b089163edb36e7a65baccb8ab317895162057a1acb2a5dc59dffd3d03c7cdb5

SetupChk.exe

7d0e3efe656a28251e6460af1baa489ea6a07053a4bc6578edba659ab28afd5d

Rngsdkcfg.exe

68b4c76a2280e3c31130d4de12b12dfd479a476f347f5b4a58cb2483d74aba7e

Rngsdkcfg.upx_ unpacked.exe

CB765F1EEAC9A7E0BBF49137AF26E74D5EA8DD1F6D4DFD4C0CFECE20517483ED

wtsapi32.dll

ffdc194775b2904564bbbd1cf0eb01d1a01f83ef5197d1612b6e2d69de7a4732

wtsapi32.dll

841aea34ca81577468c3a5ab3039370a83cd9dca7ad95af092a9a22b661ec3f1

wtsapi32.dll

b8192bb83d5d33bf6e32879d2bfb783cbbd3df6ded23206867161f091897d4c4

HelloBackdoor

FF4F46F6F09311B0F4AE5D0AF066BB201DF5E460347A9FE36F35DEFAFC73BC42

mustd.exe

13d8d4f4fa483111e4372a6925d24e28f3be082a2ea8f44304384982bd692ec9

Diagnosis.exe

c2f2a6a28d41ac243455a30c4ab39af13ed647e43d00eb69c14482e9314e9140