Дата распространения: 2026-07-17
Идентификатор: AM-2026-ALE-0717-02
Описание угрозы:
Требования к атакующему: Удаленный аутентифицированный в смежной сети ViPNet c узла с ролью ЦУС (Центр управления сетью)
Максимальный результат атаки: Компрометация системы, эксфильтрация данных, исполнение произвольных команд.
Сценарий атаки: Специалистами АО "ПМ" зафиксированы множественные попытки распространения ВПО. Для обеспечения первоначального доступа злоумышленники отправляли специально сформированный .ctl-конверт, содержащий вредоносную полезную нагрузку:
Бэкдор HelloBackdoor "Rngsdkcfg.Exe".
Данный бэкдор представлял собой 32-битный Windows PE, написанный на языке Rust и упакованный модифицированной версией UPX. После распаковки образец, представляющий собой server-side бэкдор, прослушивал входящие TLS/WebSocket соединения на локальном узле, на портах 443 и 5003, и принимал подключения оператора C2 для выполнения команд.
Функциональные возможности ВПО позволяли управлять им с помощью команд !check, !upload, !down, !addlife, !stop. При этом оператором могли быть исполнены произвольные команды ОС, файловые операции сохранения и удаления.
Кроме того, бэкдор воздействовал на компонент ViPNet через сервис iplircontrol путем выполнения следующих действий: создание временного файла "*.batcmd.exe"; исполнение команд "sc stop iplircontrol", timeout 5, sc start iplircontrol и удаление BAT-файла.
Компоненты стилера: Setup.exe/SetupChk.exe/SetupCheck.exe, содержащиеся в update.lzh.
Нарушитель в дополнение к легитимному подписанному пакету обновления update.lzh «рядом» добавил несколько дополнительных файлов с вирусной нагрузкой (Setup.exe.config, SetupCheck.dll и SetupChk.exe). Далее, дополнительные пакеты при обработке обновления, используя недостаток обработки относительных путей, извлекались сразу во временную папку обновления.
И следующим шагом, для запуска доставленной вирусной нагрузки была проэксплуатирована уязвимость .NET, позволяющая осуществить запуск Setup.exe из легитимного пакета обновлений с дополнительными инструкциями. При запуске Setup.exe, он обнаруживал лежащий рядом Setup.exe.config, воспринимал его как конфигурационный файл и следовал содержащимся в нем инструкциям. Финальным исполняемым файлом в цепочке являлся SetupCheck.dll, который представляется из себя средство разведки и сбора информации о целевой системе под управлением ViPNet. Таким образом, были последовательно проэксплуатированы 4 уязвимости 4 разных технологий, что отдельно говорит об уровне нарушителя.После успешного сбора информации вредоносным ПО создавался zip-архив в директории %TEMP%, с наименованием вида: "u***.0", куда помещался файл с расширением .lock, в котором содержалась информация о конфигурации узла, ОС и сети. Шифрование архива было реализовано с помощью ZipCrypto.
Эксфильтрация сформированного архива происходила путем создания .ctl-конверта и его отправки с помощью службы ViPNet MFTP.
Стоит отметить, что в стилере заложены механизмы усечения и удаления журналов ViPNet для сокрытия своих следов.
На что направлены:
ОС семейства Windows, содержащие ПО ViPNetМеры противодействия:
Провести аудит файловой системы на наличие подозрительных образцов:
- "Rngsdkcfg.exe"
- "Rngpkcsmgr.exe"
- "server_updown.exe"
- "server_updown.pdb"
- "*.batcmd.exe"
Провести аудит каталогов на наличие подозрительных файлов:
- "C:\Windows\Temp"
- "C:\ProgramData"
- "C:\Users\*\AppData\Local\Temp"
- "C:\Program Files"
- "C:\Program Files (x86)"
- "C:\Program Files\Common Files\InfoTeCS"
- "C:\ProgramData\InfoTeCS"
Осуществить проверку ветви реестра:
- "HKLM\SYSTEM\CurrentControlSet\Services\ScNetSvc"
- "HKLM\SYSTEM\CurrentControlSet\Services\ScNetSvc\Parameters"
- "HKLM\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Svchost\netsvcs"
- "HKCU/HKLM\Software\Microsoft\Windows\CurrentVersion\Run"
- "HKCU/HKLM\Software\Microsoft\Windows\CurrentVersion\ RunOnce"
- "HKCU\Software\Classes\CLSID\{d9144dcd‐e998‐4eca‐ab6a‐dcd83ccba16d}\InprocServer32"
Провести антивирусную проверку на узлах. Убедиться, что установлены актуальные базы сигнатур
Ограничить доступ к следующим файлам, имеющим отношение к распространению ВПО (см. Приложение 1)
Ограничить доступ к следующим сетевым ресурсам, имеющим отношение к С2-серверам злоумышленников:
- 5.39.253[.]206
- 5.39.253[.]210
- 31.57.35[.]21
- 104.238.24[.]156
- 123.58.203[.]41
- 154.89.152[.]59
Использовать правила ViPNet IDS NS:
- sid 3436417 "AM CURRENT_EVENTS HTTP request to malicious IP endpoint in header 5.39.253.206 (possible Chinese APT (HelloNet))"
- sid 3436421 "AM CURRENT_EVENTS HTTP request to malicious IP endpoint in header 5.39.253.210 (possible Chinese APT (HelloNet))"
- sid 3436416 "AM CURRENT_EVENTS HTTP request to malicious IP endpoint in header 31.57.35.21 (possible Chinese APT (HelloNet))"
- sid 3436420 "AM CURRENT_EVENTS HTTP request to malicious IP endpoint in header 104.238.24.156 (possible Chinese APT (HelloNet))"
- sid 3436414 "AM CURRENT_EVENTS HTTP request to malicious IP endpoint in header 123.58.203.41 (possible Chinese APT (HelloNet))"
- sid 3436415 "AM CURRENT_EVENTS HTTP request to malicious IP endpoint in header 154.89.152.59 (possible Chinese APT (HelloNet))
- sid 907542 "Windows_Backdoor_RustUSTCMirror_V1"
- sid 907539 "Windows_Backdoor_RustUPXPacked_V1"
- sid 907540 "Windows_Backdoor_RustWSSUnpacked_V1"
- sid 907541 "Windows_Backdoor_RustSelfDestruct_V1"
- sid 907536 "Windows_Loader_AppDomainManager_V1"
- sid 907538 "Windows_Trojan_ITCSProtocol_V1"
- sid 907537 "Windows_Trojan_ITCSCredStealer_V1"
Ссылки на источники:
Над бюллетенем работали: Галкин Николай, Рудзик Александр, Стрельцова Кристина
Приложение 1
Файловые индикаторы компрометации
Индикаторы компрометации, зафиксированные во вредоносной активности:
|
Setup.exe |
09ab4fe65e60f894bdc05486f633e6169c19cb0a7ef4bb48124246da82caa3f3 |
|
SetupCheck.dll |
8b089163edb36e7a65baccb8ab317895162057a1acb2a5dc59dffd3d03c7cdb5 |
|
SetupChk.exe |
7d0e3efe656a28251e6460af1baa489ea6a07053a4bc6578edba659ab28afd5d |
|
Rngsdkcfg.exe |
68b4c76a2280e3c31130d4de12b12dfd479a476f347f5b4a58cb2483d74aba7e |
|
Rngsdkcfg.upx_ unpacked.exe |
CB765F1EEAC9A7E0BBF49137AF26E74D5EA8DD1F6D4DFD4C0CFECE20517483ED |
|
wtsapi32.dll |
ffdc194775b2904564bbbd1cf0eb01d1a01f83ef5197d1612b6e2d69de7a4732 |
|
wtsapi32.dll |
841aea34ca81577468c3a5ab3039370a83cd9dca7ad95af092a9a22b661ec3f1 |
|
wtsapi32.dll |
b8192bb83d5d33bf6e32879d2bfb783cbbd3df6ded23206867161f091897d4c4 |
|
HelloBackdoor |
FF4F46F6F09311B0F4AE5D0AF066BB201DF5E460347A9FE36F35DEFAFC73BC42 |
|
mustd.exe |
13d8d4f4fa483111e4372a6925d24e28f3be082a2ea8f44304384982bd692ec9 |
|
Diagnosis.exe |
c2f2a6a28d41ac243455a30c4ab39af13ed647e43d00eb69c14482e9314e9140 |