VIPERTUNNEL: Python-бэкдор EvilCorp маскирует трафик через SOCKS5
В постоянно меняющемся ландшафте киберугроз особую тревогу вызывают инструменты, способные годами эволюционировать, оставаясь незамеченными для традиционных средств защиты. Один из таких инструментов — VIPERTUNNEL, бэкдор на базе Python, который исследователи связывают с печально известной российской группировкой UNC2165 (EvilCorp). Впервые зафиксированный в 2024 году, этот вредоносный инструмент претерпел существенную функциональную доработку, детально описанную в техническом анализе InfoGuard Labs от 2026 года. Его отличает способность глубоко прятаться в среде легитимного ПО, используя Python и его библиотеки как фундамент для скрытой прокси-активности.
Как VIPERTUNNEL проникает и закрепляется в системе
Первичная компрометация обычно обеспечивается через приемы Social Engineering (техники MITRE ATT&CK T1204 и T1189), после чего в дело вступает многоуровневая стратегия закрепления. Злоумышленники активно применяют концепцию living-off-the-land, опираясь на уже присутствующие в системе легитимные бинарные файлы и скрипты Python. Это не только маскирует вредоносную активность, но и существенно затрудняет её обнаружение.
Ключевые механизмы долговременного присутствия включают:
- Создание запланированной задачи Windows (Scheduled Task). Задача запускает легитимный интерпретатор pythonw.exe, однако берет его из нестандартного каталога. Отсутствие аргументов командной строки и необычное расположение исполняемого файла — тревожный сигнал для бдительного защитника.
- Размещение вредоносного скрипта sitecustomize.py непосредственно в пути библиотеки Python. Эта техника использует документированную возможность Python автоматически выполнять данный скрипт при каждом запуске интерпретатора. Таким образом, код активируется тихо, без вмешательства стандартных мониторов целостности файлов и процессов, оставаясь незаметным при рутинном запуске Python-приложений.
Скрытая доставка полезной нагрузки
VIPERTUNNEL избегает приземленных методов записи исполняемых файлов на диск на критических этапах. Полезная нагрузка кодируется в виде DLL-файла, что позволяет эксплуатировать пробелы в автоматизированных системах обнаружения — подобные замаскированные объекты часто игнорируются сканерами. Сам DLL представляет собой сильно обфусцированный Python-скрипт. Однако его финальная, расшифрованная версия никогда не оставляет следов на диске: специальный загрузчик выполняет вредоносную логику напрямую из памяти. Такой подход сводит на нет множество традиционных техник файлового анализа.
Сетевой туннель: прокси с нестандартным поведением
После активации VIPERTUNNEL превращает заражённый хост в скрытый прокси-узел. Он поднимает SOCKS5-прокси и устанавливает TCP-туннель к управляющему серверу (C2). Примечательно, что коммуникации маскируются под легитимный трафик через порт 443, однако в них отсутствуют характерные признаки HTTPS — рукопожатие, структура заголовков и шифрование не соответствуют стандартному веб-обмену. Такое рассогласование между транспортным уровнем и протоколом прикладного уровня является опасным признаком, требующим поведенческого анализа трафика.
Индикаторы компрометации и стратегии защиты
Из-за архитектурных особенностей VIPERTUNNEL основные риски выявляются преимущественно на уровне поведенческих паттернов. Защитникам необходимо выстроить эшелонированный мониторинг, сфокусированный на следующих индикаторах:
- Необычное выполнение Python: процессы pythonw.exe (или любого интерпретатора Python), запущенные из нетипичных каталогов, с нестандартными родительскими процессами или без ожидаемых аргументов.
- Неожиданные запланированные задачи: вновь созданные задания, инициирующие интерпретаторы Python без указания скрипта или с подозрительными путями.
- Сетевые аномалии: исходящие соединения, использующие протокол SOCKS, особенно направленные на порт 443, и трафик, не соответствующий типичным профилям HTTPS.
- Изменения в файлах Python: внезапное появление или модификация скрипта sitecustomize.py в библиотечных каталогах.
Эффективная защита требует слаженных усилий команд SOC и NOC. Организациям рекомендуется развернуть поведенческое базовое профилирование (baseline profiling) для точного выявления аномалий, коррелирующих с активностью VIPERTUNNEL. Процедуры аудита запланированных задач и критически важных путей Python-библиотек должны быть автоматизированы и интегрированы в процессы реагирования на инциденты.
В заключение, VIPERTUNNEL — это не просто очередной бэкдор, а хорошо продуманный, устойчивый сетевой прокси, виртуозно маскирующий свою работу через техники living-off-the-land. Он умело балансирует на стыке сетевого поведения и файловых артефактов, обнажая слабости классических подходов к обнаружению и подтверждая необходимость адаптивных, поведенческих моделей защиты.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



