Grupo APT abusa de atualizações do ViPNet para atacar organizações russas
Um ator de ameaça avançada está explorando o mecanismo de atualização do ViPNet, um conjunto de produtos de rede privada, para atacar organizações na Rússia, incluindo agências governamentais. Denominada HelloNet, a campanha está ativa desde pelo menos maio e utiliza um payload malicioso que atua como um proxy e carregador para malware adicional. O ViPNet, desenvolvido pela InfoTeCS, é amplamente utilizado na Rússia e é certificado para uso em ambientes regulados. Os atacantes inseriram um arquivo malicioso (wtsapi32.dll, chamado HelloInjector) no diretório do sistema de atualização do ViPNet, que é carregado durante a inicialização do sistema. Este DLL injeta um payload em um processo legítimo do Windows, permitindo que os atacantes obtenham privilégios elevados. A Kaspersky atribui a campanha a um grupo APT de língua chinesa, embora a evidência seja considerada fraca. A empresa recomenda monitoramento rigoroso dos sistemas que utilizam o ViPNet, especialmente o tráfego em portas específicas. A situação destaca a vulnerabilidade de ferramentas de segurança amplamente utilizadas e a necessidade de vigilância contínua.
