Программа для защищённого документооборота, которой пользуются российские компании и госструктуры, стала инструментом для проникновения в их же сети — обнаружена атака через штатную функциональность службы ViPNet MFTP.
Специалисты экспертного центра безопасности Positive Technologies зафиксировали признаки атаки, которая продолжалась как минимум с 1 июня по 14 июля 2026 года и затронула не менее восьми организаций.
Механизм построен на злоупотреблении встроенным транспортным протоколом MFTP, через который клиенты ViPNet обмениваются файлами. Злоумышленники рассылали между узлами специальный файл-конверт с расширением .ctl, внутри которого находилась вредоносная библиотека wtsapi32.dll. Она загружалась службой обновления ViPNet за счёт подмены системного файла (техника DLL Hijacking) и уязвимости, позволяющей записывать файл не в ту папку, для которой он предназначен.
После запуска библиотека действовала как загрузчик: искала процесс svchost.exe и встраивала в него дополнительный вредоносный код. Заражённая система превращалась в прокси-сервер, через который злоумышленники перенаправляли сетевой трафик и загружали в память другие вредоносные программы, обходя тем самым средства защиты, ориентированные на поиск файлов на диске.
Отдельным эпизодом стала рассылка в конце мая 2026 года поддельного пакета обновления, внутри которого находились программы SetupCheck.dll и SetupChk.exe. Они очищали журналы ViPNet, чтобы скрыть следы вторжения, и одновременно собирали данные о процессах, сетевых соединениях и установленном софте на заражённом устройстве, готовя новый вредоносный конверт для дальнейшего распространения.
В ходе расследования на скомпрометированных узлах также нашли загрузчик Donnect и бэкдор ShadowRelay, который маскировался под службу с названием, напоминающим OneDrive, и подключался к внешним серверам управления.
Компания «ИнфоТеКС» подтвердила обнаружение уязвимости и уточнила условия её эксплуатации: атака возможна только в том случае, если злоумышленники уже получили контроль над узлом с установленным ViPNet Administrator. Именно с этого скомпрометированного управляющего узла через связи между сетями рассылается поддельный конверт обновления, который использует уязвимость обработки относительных путей для повышения привилегий и выполнения произвольного кода на атакуемых узлах.
Для устранения уязвимости компания выпустила обновлённые версии продуктов: ViPNet Client 4 версии 4.5.3 сборки 65211 и выше, версию 4.5.5 сборки 24733, которая станет доступна в ближайшее время, а также ViPNet Administrator версии 4.6.11.5113 и выше. Организациям, чьи сети связаны с чужими защищёнными сетями, «ИнфоТеКС» рекомендует проверить узлы на признаки заражения с помощью подготовленных YARA-правил и при обнаружении подозрений или необычной сетевой активности сразу обращаться в службу технического сопровождения компании.
Для снижения риска рекомендуется остановить и отключить службу обновления ViPNet на всех рабочих станциях и серверах, а на координаторах HW и xFirewall — остановить службу MFTP. Также стоит убедиться, что пользователи узлов сети ViPNet не обладают полномочиями администратора, своевременно обновлять антивирусное ПО и следить за актуальностью версий установленных продуктов ViPNet.