Российские компании стали жертвами бэкдора, скрытого в “обновлении” ViPNet Client
Новый бэкдор маскируется под обновление ViPNet Client и атакует российские организации
В ходе совместного расследования эксперты «Лаборатории Касперского» и «Т-Технологий» выявили новый продвинутый бэкдор (HEUR:Trojan.Win32.Loader.gen), который использовался неизвестной APT-группировкой для кибершпионажа против десятков российских организаций. В числе жертв — компании из госсектора, финансовой и промышленной сфер. Последние атаки были зафиксированы в апреле 2025 года.
Злоумышленники распространяли вредоносный код, замаскировав его под обновление ViPNet Client. Архивы с расширением .lzh имитировали структуру легитимных обновлений и содержали:
action.inf
— конфигурационный файл;lumpdiag.exe
— легитимное ПО;msinfo32.exe
— вредоносный загрузчик;- зашифрованный файл с полезной нагрузкой.
Ключевая уязвимость заключалась в подмене пути исполнения: служба обновлений ViPNet (itcsrvup64.exe
) запускала lumpdiag.exe
с параметром --msconfig
, что позволило внедрить и активировать вредоносный msinfo32.exe
.
Этот файл выступает в роли загрузчика, расшифровывает вредоносную нагрузку и загружает полноценный бэкдор в память системы. Последний способен подключаться к управляющему серверу по TCP, красть файлы и загружать дополнительные модули.
Исследование продолжается, но эксперты уже поделились результатами, чтобы организации могли своевременно принять меры защиты. По словам Игоря Кузнецова из Kaspersky GReAT, важно повышать цифровую грамотность сотрудников и использовать проверенные средства защиты, чтобы противостоять постоянно эволюционирующим угрозам.