在 2025 年 4 月的一次网络安全调查中，发现了一个针对俄罗斯政府、金融和工业等多个大型组织的复杂后门程序。

该恶意软件伪装成 ViPNet 安全网络软件的合法更新程序，使攻击者能够窃取敏感数据，并在被攻陷的系统上部署更多恶意组件。

高级威胁态势

这个后门程序专门针对连接到 ViPNet 网络的计算机，ViPNet 是俄罗斯一款用于创建安全网络的流行软件套件。

网络安全专家已确定，该恶意软件被封装在 LZH 压缩包中进行分发，这些压缩包被设计成模仿合法的 ViPNet 更新程序，其中包含合法文件和恶意文件。

一位熟悉此次调查的资深网络安全分析师表示：“这次攻击表明，威胁行为者的手段越来越复杂，他们利用了人们信任的软件更新机制。”

恶意压缩包包含几个组件：一个 action.inf 文本文件、一个合法的 lumpdiag.exe 可执行文件、一个恶意的 msinfo32.exe 可执行文件，以及一个加密的有效载荷文件，在不同的压缩包中该文件名称各异。

此次攻击利用了一种路径替换技术 —— 当 ViPNet 更新服务处理该压缩包时，它会使用特定参数执行合法文件，这随后会触发恶意的 msinfo32.exe 文件的执行。

一旦激活，该后门程序就会通过 TCP 协议与命令控制（C2）服务器建立连接，使攻击者能够从受感染的计算机中窃取文件，并执行更多恶意组件。

这一发现正值网络间谍活动日益增多之际。最近的报告发现，新的高级持续性威胁（APT）组织正积极利用复杂的技术，以云服务和公共平台作为命令控制基础设施，来攻击政府实体。

在其他地方也观察到了类似的由国家支持的黑客攻击模式，这些网络攻击与针对关键机构的更广泛活动有关。

ViPNet 的开发者已确认了针对其用户的这些定向攻击，并发布了安全更新和建议，以减轻威胁。

网络安全专家强调，随着高级持续性威胁（APT）组织的战术变得越来越复杂，各组织必须实施多层防御策略。

强烈建议使用 ViPNet 网络解决方案的组织采取以下措施：

1.在安装更新之前验证更新的真实性。

2.实施严格的访问控制。

3.定期监控网络流量，查找可疑活动。

4.确保安全解决方案能够检测到如 HEUR:Trojan.Win32.Loader.gen 这样的威胁。

安全研究人员认为，分享这些初步调查结果将有助于处于风险中的组织针对这种利用人们信任的更新机制来渗透安全网络的新出现的威胁，迅速采取防护措施。

受攻击指标

SHA256 哈希值

018AD336474B9E54E1BD0E9528CA4DB5
28AC759E6662A4B4BE3E5BA7CFB62204
77DA0829858178CCFC2C0A5313E327C1
A5B31B22E41100EB9D0B9A27B9B2D8EF
E6DB606FA2B7E9D58340DF14F65664B8