
Атака через службу ViPNet MFTP: признаки компрометации и рекомендации
ptsecurity 12 минут назад Атака через службу ViPNet MFTP: признаки компрометации и рекомендации 7 мин 374 Блог компании Positive Technologies Информационная безопасность * Кейс Специалистами экспертного центра...
<5 — 2026'da uzaya kaç SpaceX Starship fırlatması ulaşacak?
В сфере искусственного интеллекта произошло заметное событие. ptsecurity 12 минут назад Атака через службу ViPNet MFTP: признаки компрометации и рекомендации 7 мин 374 Блог компании Positive Technologies Информационная безопасность * Кейс Специалистами экспертного центра безопасности Positive Technologies (PT ESC) зафиксированы признаки реализации злоумышленниками атаки через штатную функциональность службы ViPNet MFTP. На момент написания уведомления известная хронология атаки охватывает период как минимум с 1 июня по 14 июля 2026 года, а ее поверхность — как минимум 8 организаций. Описание атакиПосредством базовой функциональности транспортного протокола MFTP злоумышленники передают между клиентами файл-конверт (c расширением .
ctl), содержащий вредоносную библиотеку wtsapi32. dll, которая загружается исполняемым файлом Itcsrvup64. Exe (компонент службы обновления ПО ViPNet) при помощи техники DLL Hijacking и сохраняется на файловую систему посредством техники Path Traversal по пути:C:\ProgramData\InfoTeCS<9-значный_идентификатор_устройства>.
Технические детали
/…/…/…/program files (x86)/infotecs/vipnet update system/wtsapi32. dllВредоносное ПО (ВПО) представляет собой загрузчик, хранящий в . data-секции исполняемый файл в виде DLL-библиотеки с измененными магическими байтами (magic bytes) заголовка.
ВПО выполняет проверку контекста запуска. В случае запуска в контексте любого процесса, кроме svchost. exe, вредонос находит работающий экземпляр процесса svchost.
exe с параметром netsvcs в командной строке и внедряет туда указанную библиотеку. Основной функционал ВПО сводится к работе в режиме прокси-сервера для перенаправления сетевого трафика, а также загрузке дополнительных DLL-библиотек в адресное пространство и их выполнению. В основе обработки команд малвари лежит диспетчер IOCTL-запросов, управляющий таблицей активных подключений через перехват WinAPI-функций NtDeviceIoControlFile, closesocket и shutdown.
С помощью библиотеки Detours данная таблица блокирует преждевременное закрытие сетевых сокетов, а при получении запроса проверяет код операции — AFD_GET_TDI_HANDLES (0×12037) для регистрации нового сокета и AFD_RECV (0×12017) для инициации обработки входящего трафика. Дескрипторы сохраняются в таблицу (по 8344 байт на запись). При обработке кода 0×12017 вредонос записывает идентификаторы потока и процесса в файл C:\users\public\tesh4RPC.
Событие, по словам экспертов, усилит конкуренцию в сфере ИИ.




