Российские компании стали жертвами бэкдора, скрытого в “обновлении” ViPNet Client

Новый бэкдор маскируется под обновление ViPNet Client и атакует российские организации

В ходе совместного расследования эксперты «Лаборатории Касперского» и «Т-Технологий» выявили новый продвинутый бэкдор (HEUR:Trojan.Win32.Loader.gen), который использовался неизвестной APT-группировкой для кибершпионажа против десятков российских организаций. В числе жертв — компании из госсектора, финансовой и промышленной сфер. Последние атаки были зафиксированы в апреле 2025 года.

Злоумышленники распространяли вредоносный код, замаскировав его под обновление ViPNet Client. Архивы с расширением .lzh имитировали структуру легитимных обновлений и содержали:

• action.inf — конфигурационный файл;
• lumpdiag.exe — легитимное ПО;
• msinfo32.exe — вредоносный загрузчик;
• зашифрованный файл с полезной нагрузкой.

Ключевая уязвимость заключалась в подмене пути исполнения: служба обновлений ViPNet (itcsrvup64.exe) запускала lumpdiag.exe с параметром --msconfig, что позволило внедрить и активировать вредоносный msinfo32.exe.

Этот файл выступает в роли загрузчика, расшифровывает вредоносную нагрузку и загружает полноценный бэкдор в память системы. Последний способен подключаться к управляющему серверу по TCP, красть файлы и загружать дополнительные модули.

Исследование продолжается, но эксперты уже поделились результатами, чтобы организации могли своевременно принять меры защиты. По словам Игоря Кузнецова из Kaspersky GReAT, важно повышать цифровую грамотность сотрудников и использовать проверенные средства защиты, чтобы противостоять постоянно эволюционирующим угрозам.