Для закрепления в системе злоумышленники помещали вредоносную библиотеку в папку обновлений ViPNet. При запуске Windows легитимный компонент ViPNet мог автоматически загрузить этот файл, сообщает habr.com.

Затем вредоносная программа внедрялась в системный процесс svchost.exe. Она позволяла злоумышленникам скрытно передавать сетевой трафик, загружать дополнительные модули, выполнять команды на компьютере и удалять журналы ViPNet.

Исследователи назвали основные компоненты атаки HelloInjector, HelloProxy, HelloExecutor, HelloCleaner и HelloBackdoor. Kaspersky с низкой уверенностью связывает кампанию с неизвестной китайскоязычной APT-группой.

Отдельно компания «ИнфоТеКС» сообщила об уязвимости в ViPNet Client 4. Она могла использоваться после захвата доверенного узла с ViPNet Administrator для рассылки вредоносных файлов под видом обновлений.

«ИнфоТеКС» советует обновить ViPNet Client и ViPNet Administrator до исправленных версий, а затем проверить компьютеры на заражение с помощью специальных YARA-правил. Если проверка обнаружит подозрительные файлы или активность, следует обратиться в техническую поддержку компании. Kaspersky также рекомендует внимательнее контролировать компьютеры с ViPNet и проверять соединения через порты 5003 и 5060.