Перейти к основному разделу

Идёт сложная целевая кибератака против российских компаний через механизм обновлений ViPNet

16 июля 2026 г.

Об этом сообщили в Kaspersky GReAT

Эксперты Kaspersky GReAT (Глобального центра исследования и анализа угроз «Лаборатории Касперского») обнаружили новую сложную целевую кибератаку HelloNet против российских предприятий, которая активна до сих пор. С этой кампанией кибершпионажа столкнулись крупные организации из государственного, промышленного, энергетического, транспортно-логистического и образовательного секторов.

Для заражения злоумышленники используют систему обновлений ViPNet — ПО для создания защищённых сетей. Атака реализуется через технику DLL Sideloading* — ей подвержен один из компонентов ViPNet, который запускается при старте операционной системы.

В кампании применяется ранее неизвестный сложный инструментарий: загрузчик дополнительных вредоносных компонентов HelloInjector; инструмент для проксирования трафика и запуска новых вредоносных нагрузок HelloProxy; имплант HelloExecutor, с помощью которого атакующие могут выполнять команды на заражённой системе; и HelloCleaner — модуль для очистки файлов журналов ПО ViPNet, который позволяет злоумышленникам скрыть свою активность. В одной из заражённых систем был выявлен новый бэкдор** HelloBackdoor, используемый для манипуляций с файловой системой.

На основе технического анализа с низкой долей уверенности данную вредоносную активность можно атрибутировать к неизвестной китайскоговорящей группировке.

«Это уже не первый раз, когда мы наблюдаем, что продвинутая группировка нацеливается на компьютеры, подключённые к сетям ViPNet. Например, в 2025 году мы обнаружили сложный бэкдор, мимикрирующий под обновления ViPNet, — тогда с вредоносной кампанией столкнулись десятки российских организаций. Учитывая то, что это ПО распространено в корпоративном секторе и может использоваться злоумышленниками для проведения кибератак, мы рекомендуем уделить особое внимание защите рабочих станций, где оно установлено, и провести мониторинг сетевого трафика на предмет следов возможного заражения», — комментирует Георгий Кучерин, старший эксперт Kaspersky GReAT.

Защитные решения «Лаборатории Касперского» предотвращают попытки заражения и детектируют описанную вредоносную активность как: Trojan.Win32.Agentb.ttoe, Trojan.Win64.Convagent.gen, Trojan.Win64.Agent.smgpqx, Trojan.Win64.DllHijacking.gen.

С более подробным техническим анализом кампании можно ознакомиться на securelist.ru.

О Kaspersky GReAT

Глобальный центр исследования и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT) основан в 2008 году. Его задача — выявлять APT-атаки, кампании кибершпионажа, вредоносное ПО, программы-вымогатели и тренды в киберпреступности по всему миру. Сегодня в команде Kaspersky GReAT более 35 экспертов, работающих по всему миру — в Европе, России, Южной Америке, Азии, на Ближнем Востоке. Талантливые профессионалы в сфере кибербезопасности играют ведущую роль в исследовании вредоносного ПО и создании инновационных методов борьбы с ним. Их богатый опыт, мотивация и любознательность способствуют эффективному обнаружению и анализу киберугроз.

* DLL sideloading — атака, при которой злоумышленники распространяют вредоносную библиотеку DLL (Dynamic Link Library) вместе с легитимным приложением, которое её выполняет.

** ПО для скрытого дистанционного управления заражённым устройством.

Идёт сложная целевая кибератака против российских компаний через механизм обновлений ViPNet

Об этом сообщили в Kaspersky GReAT
Kaspersky logo

О «Лаборатории Касперского»

«Лаборатория Касперского» — международная компания, работающая в сфере информационной безопасности и цифровой приватности с 1997 года. На сегодняшний день компания защитила более 1 миллиарда устройств от массовых киберугроз и целенаправленных атак, а накопленные ей знания и опыт последовательно трансформируются в инновационные решения и услуги для защиты бизнеса, критически важной инфраструктуры, государственных органов и рядовых пользователей по всему миру. Обширный портфель «Лаборатории Касперского» включает в себя комплексную защиту цифровой жизни и личных устройств, ряд специализированных продуктов и сервисов, а также кибериммунные решения для борьбы со сложными и постоянно эволюционирующими киберугрозами. Мы помогаем миллионам частных пользователей и почти 200 тысячам корпоративных клиентов во всём мире защищать самое ценное для них. Подробнее на www.kaspersky.ru.

Материалы раздела предназначены для профессионального использования представителями СМИ и бизнес-сообщества.

Другие пресс-релизы