России была обнаружена новая сложная целевая кибератака HelloNet, которая до сих пор продолжается и нацелена на крупные организации. С кампанией кибершпионажа столкнулись предприятия государственного, промышленного, энергетического, транспортно-логистического и образовательного секторов. Об этом «Газете.Ru» сообщили в пресс-службе компании «Лаборатория Касперского».
По данным компании, для заражения злоумышленники используют систему обновлений программного обеспечения ViPNet, предназначенного для создания защищенных сетей. Атака реализуется с помощью техники DLL Sideloading, которая позволяет загрузить вредоносную библиотеку через уязвимый компонент ViPNet, запускающийся при старте операционной системы.
В ходе кампании применяется ранее неизвестный набор вредоносных инструментов. В него входят загрузчик дополнительных компонентов HelloInjector, средство для проксирования трафика и запуска новых вредоносных модулей HelloProxy, имплант HelloExecutor для удаленного выполнения команд на зараженной системе, а также модуль HelloCleaner, предназначенный для очистки журналов ViPNet и сокрытия следов активности. Кроме того, на одной из зараженных систем специалисты обнаружили новый бэкдор HelloBackdoor, который используется для манипуляций с файловой системой.
По результатам технического анализа эксперты связали эту вредоносную активность с неизвестной китайскоговорящей группировкой.
«Это уже не первый раз, когда мы наблюдаем, что продвинутая группировка нацеливается на компьютеры, подключённые к сетям ViPNet. Например, в 2025 году мы обнаружили сложный бэкдор, мимикрирующий под обновления ViPNet. Учитывая, что это ПО широко распространено в корпоративном секторе, мы рекомендуем уделить особое внимание защите рабочих станций, где оно установлено, и проводить мониторинг сетевого трафика на предмет следов возможного заражения», – заявил старший эксперт Kaspersky GReAT Георгий Кучерин.
В «Лаборатории Касперского» отметили, что защитные решения компании обнаруживают и блокируют описанную вредоносную активность.
Ранее бывший сотрудник «Лаборатории Касперского» оказался участником дела о кибершпионаже.