新型恶意软件伪装网络更新 俄多领域机构遭高级持续攻击

2025年4月的网络安全调查揭示，一种针对俄罗斯政府、金融及工业领域大型机构的高级后门程序正通过伪装成ViPNet安全网络软件更新的方式渗透系统。该恶意软件不仅能窃取敏感数据，还可向受感染设备植入更多恶意组件，目前已有多个重点行业系统被攻陷。

精密构造的攻击链这款定向恶意软件专门针对接入ViPNet安全网络的设备。网络安全专家发现，攻击者将木马程序封装在仿冒正规更新的LZH压缩包内，其中混入了合法文件和恶意组件。"这显示出攻击者正日益擅长利用受信任的软件更新渠道实施渗透，"参与调查的资深分析师表示。

恶意压缩包包含多重复合组件：action.inf配置文件、正规的lumpdiag.exe程序、伪装的msinfo32.exe恶意程序，以及名称动态变化的加密载荷文件。攻击采用路径替换技术——当ViPNet更新服务处理压缩包时，系统会先执行合法文件，继而触发恶意msinfo32.exe的运行机制。

该后门一旦激活，立即通过TCP协议与指令控制(C2)服务器建立连接，使攻击者能远程窃取文件并部署更多攻击模块。安全人员注意到，近期的网络间谍活动呈现新趋势：多个APT组织开始利用云服务和公共平台构建C2基础设施，对政府机构实施精确打击。

全球协同防御建议ViPNet开发商已确认存在针对其用户的定向攻击，并发布紧急安全补丁。网络安全专家警告，随着APT攻击战术的日益复杂化，企业必须建立纵深防御体系：

• 严格验证更新包数字签名及哈希值 

• 实施网络分段与最小权限访问控制

• 部署能检测HEUR:Trojan.Win32.Loader.gen等威胁的防护方案 

• 对内部网络流量实施行为基线监控

值得注意的是，类似的国家级网络攻击模式近期在多个地区均有显现，往往与针对关键基础设施的系统性攻击存在关联。安全研究人员表示，及时共享这些攻击特征信息，将有助于高危机构快速构建针对这种"信任供应链攻击"的防御能力。

（注：ViPNet是俄罗斯广泛使用的VPN类安全通信解决方案，多用于政府部门和重点行业的内网建设）

来源：https://cybersecuritynews.com/malware-networking-software-updates/