VIPERTUNNEL: Python-бэкдор EvilCorp маскирует трафик через SOCKS5

В постоянно меняющемся ландшафте киберугроз особую тревогу вызывают инструменты, способные годами эволюционировать, оставаясь незамеченными для традиционных средств защиты. Один из таких инструментов — VIPERTUNNEL, бэкдор на базе Python, который исследователи связывают с печально известной российской группировкой UNC2165 (EvilCorp). Впервые зафиксированный в 2024 году, этот вредоносный инструмент претерпел существенную функциональную доработку, детально описанную в техническом анализе InfoGuard Labs от 2026 года. Его отличает способность глубоко прятаться в среде легитимного ПО, используя Python и его библиотеки как фундамент для скрытой прокси-активности.

Как VIPERTUNNEL проникает и закрепляется в системе

Первичная компрометация обычно обеспечивается через приемы Social Engineering (техники MITRE ATT&CK T1204 и T1189), после чего в дело вступает многоуровневая стратегия закрепления. Злоумышленники активно применяют концепцию living-off-the-land, опираясь на уже присутствующие в системе легитимные бинарные файлы и скрипты Python. Это не только маскирует вредоносную активность, но и существенно затрудняет её обнаружение.

Ключевые механизмы долговременного присутствия включают:

  • Создание запланированной задачи Windows (Scheduled Task). Задача запускает легитимный интерпретатор pythonw.exe, однако берет его из нестандартного каталога. Отсутствие аргументов командной строки и необычное расположение исполняемого файла — тревожный сигнал для бдительного защитника.
  • Размещение вредоносного скрипта sitecustomize.py непосредственно в пути библиотеки Python. Эта техника использует документированную возможность Python автоматически выполнять данный скрипт при каждом запуске интерпретатора. Таким образом, код активируется тихо, без вмешательства стандартных мониторов целостности файлов и процессов, оставаясь незаметным при рутинном запуске Python-приложений.

Скрытая доставка полезной нагрузки

VIPERTUNNEL избегает приземленных методов записи исполняемых файлов на диск на критических этапах. Полезная нагрузка кодируется в виде DLL-файла, что позволяет эксплуатировать пробелы в автоматизированных системах обнаружения — подобные замаскированные объекты часто игнорируются сканерами. Сам DLL представляет собой сильно обфусцированный Python-скрипт. Однако его финальная, расшифрованная версия никогда не оставляет следов на диске: специальный загрузчик выполняет вредоносную логику напрямую из памяти. Такой подход сводит на нет множество традиционных техник файлового анализа.

Сетевой туннель: прокси с нестандартным поведением

После активации VIPERTUNNEL превращает заражённый хост в скрытый прокси-узел. Он поднимает SOCKS5-прокси и устанавливает TCP-туннель к управляющему серверу (C2). Примечательно, что коммуникации маскируются под легитимный трафик через порт 443, однако в них отсутствуют характерные признаки HTTPS — рукопожатие, структура заголовков и шифрование не соответствуют стандартному веб-обмену. Такое рассогласование между транспортным уровнем и протоколом прикладного уровня является опасным признаком, требующим поведенческого анализа трафика.

Индикаторы компрометации и стратегии защиты

Из-за архитектурных особенностей VIPERTUNNEL основные риски выявляются преимущественно на уровне поведенческих паттернов. Защитникам необходимо выстроить эшелонированный мониторинг, сфокусированный на следующих индикаторах:

  • Необычное выполнение Python: процессы pythonw.exe (или любого интерпретатора Python), запущенные из нетипичных каталогов, с нестандартными родительскими процессами или без ожидаемых аргументов.
  • Неожиданные запланированные задачи: вновь созданные задания, инициирующие интерпретаторы Python без указания скрипта или с подозрительными путями.
  • Сетевые аномалии: исходящие соединения, использующие протокол SOCKS, особенно направленные на порт 443, и трафик, не соответствующий типичным профилям HTTPS.
  • Изменения в файлах Python: внезапное появление или модификация скрипта sitecustomize.py в библиотечных каталогах.

Эффективная защита требует слаженных усилий команд SOC и NOC. Организациям рекомендуется развернуть поведенческое базовое профилирование (baseline profiling) для точного выявления аномалий, коррелирующих с активностью VIPERTUNNEL. Процедуры аудита запланированных задач и критически важных путей Python-библиотек должны быть автоматизированы и интегрированы в процессы реагирования на инциденты.

В заключение, VIPERTUNNEL — это не просто очередной бэкдор, а хорошо продуманный, устойчивый сетевой прокси, виртуозно маскирующий свою работу через техники living-off-the-land. Он умело балансирует на стыке сетевого поведения и файловых артефактов, обнажая слабости классических подходов к обнаружению и подтверждая необходимость адаптивных, поведенческих моделей защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: