在最近的一起网络安全事件中，一种针对俄罗斯大型组织的复杂后门程序被揭露。受影响的领域包括政府、金融和工业部门。Kaspersky Labs 在调查攻击的同时，已经发布了初步调查结果，以帮助处于风险中的组织采取防护措施。

调查发现，该后门程序的攻击目标是连接到 ViPNet 网络的计算机。ViPNet 是一套用于创建安全网络的软件套件。其传播方式涉及 LZH 格式的压缩档案，这些档案被精心伪装成合法的软件更新。这些档案中包含多种文件，有 “action.inf：文本文件”、“lumpdiag.exe：合法可执行文件”、“msinfo32.exe：小型恶意可执行文件” 以及 “包含有效载荷的加密文件”。ViPNet 的开发者已确认了这些针对性攻击，并已为其用户提供了安全更新和相关建议。

此次攻击采用了一种巧妙的执行方法。“action.inf” 文本文件中包含一个由 ViPNet 更新服务组件（“itcsrvup64.exe”）处理的操作：

[ACTION]

action=extra_command

extra_command=lumpdiag.exe –msconfig

这条命令会使用 “–msconfig” 参数来启动合法文件 “lumpdiag.exe”。然而，“lumpdiag.exe” 存在路径替换漏洞，这使得攻击者能够执行恶意文件 “msinfo32.exe”。

“msinfo32.exe” 文件充当了加载器的角色，它会对后门程序进行解密并将其加载到内存中。这个后门程序能够通过传输控制协议（TCP）连接到命令与控制（C2）服务器，使攻击者能够窃取文件并启动更多恶意组件。Kaspersky 的解决方案将这种威胁检测为 HEUR:Trojan.Win32.Loader.gen。

Kaspersky Labs 强调，网络攻击正变得日益复杂。“攻击者可以以极不寻常且出人意料的方式针对组织发起攻击”，这凸显了采用多层纵深防御安全策略的必要性。