Применимость вирусного ПО к продуктам ViPNet

В отношении публикации Лаборатории Касперского от 17 апреля 2025 «Новый бэкдор атаковал десятки российских организаций» компания «ИнфоТеКС» заявляет следующее:

Инцидент с проведением сложной целевой атаки у ряда пользователей продуктов ViPNet, реализующих функции организации защищенных VPN-сетей и межсетевого экранирования, подтверждаем.

Выявленный вектор атаки может быть реализован только злоумышленником, обладающим доступом к произвольному узлу ViPNet с правами администратора операционной системы, глубокими знаниями механизмов построения сетей ViPNet и ключом подписи действующего сертификата пространства доверия внутренней сети организации. Вектор атаки направлен на нелегитимное использование транспортного протокола ViPNet сети (mftp) и имитирует конверты обновления программного обеспечения продуктов ViPNet. При этом целевые функции защиты информации продуктов ViPNet не затрагиваются.

В случаях использования на узлах защищенной сети ViPNet, а также связанных с нею других защищенных сетях ViPNet, сертифицированных версий продуктов ViPNet 4-го поколения с выполнением всех требований эксплуатационной документации и правил пользования, реализация атаки невозможна. Все продукты ViPNet класса КВ, 5-го поколения и продукты промежуточного поколения 4U, атаке не подвержены.

В том случае, если ваша сеть связана с другими защищенными сетями, за администрирование которых Вы не отвечаете и не можете гарантировать выполнение по отношению к ним вышеуказанных требований, следует убедиться в отсутствии признаков заражения на узлах своей сети:

1. Проверить отсутствие файла msinfo32.exe (можно сопоставить с хэш-суммой указанной в IoC-файле YARA-правила):

1. в директории - %TEMP%\update_tmp*\update\
2. в директории - %PROGRAMFILES%\common files\infotecs\update_tmp\driv_*\*\
3. по всей файловой системе, исключая папку Windows

2. Убедиться в отсутствии событий с кодом 4688 и следующим содержанием xml: «NewProcessName = msinfo32.exe» в системном журнале security.evtx

При наличии указанных признаков, а также при обнаружении подозрительной сетевой активности с узлов ViPNet на Координаторы и элементы инфраструктуры организации, незамедлительно обращайтесь в службу технического сопровождения ИнфоТеКС.

В любых случаях настоятельно рекомендуем:

1. Убедиться в выполнении требований эксплуатационной документации и правил пользования продуктов ViPNet на узлах защищенной сети ViPNet.

2. Обратить внимание:

1. на отсутствие полномочий администратора у пользователей, работающих на узлах сети ViPNet;
2. на наличие свежих обновлений установленного антивирусного ПО;
3. на актуальность версий установленных продуктов ViPNet.

Также с целью обнаружения и недопущения возможного распространения ВПО на узлы защищенных сетей ViPNet выпущено:

• обновления продуктов ViPNet Client 4 и ViPNet Coordinator HW4, блокирующие возможность проведения рассматриваемой целевой атаки под видом обновлений продуктов ViPNet;

• YARA-правило для обнаружения вредоносной активности ВПО, распространяемого в рассматриваемой целевой атаке. Правило включено в состав БРП (sid:906643) продукта ViPNet EPP, а также может быть использовано через утилиту YARA (github.com/VirusTotal/yara/releases/tag/v4.5.2)