Linux-боты V3G4 вселяются в IoT с помощью 13 эксплойтов

Linux-боты V3G4 вселяются в IoT с помощью 13 эксплойтов

Linux-боты V3G4 вселяются в IoT с помощью 13 эксплойтов

Специалисты подразделения Unit 42 компании Palo Alto Networks с июля фиксируют атаки нового Mirai-подобного бота. Зловред, которого нарекли V3G4, способен самостоятельно распространяться через брутфорс Telnet и SSH, а также с помощью уязвимостей в IP-камерах и сетевых устройствах, использующих Linux.

На настоящий момент выявлено три V3G4-кампании. В Palo Alto полагают, что во всех случаях действовала одна и та же криминальная группа: на это указывают наличие строки 8xl9 во всех именах вшитых C2-доменов, сходство скриптов-загрузчиков и функций клиентов, общие стоп-лист (список прибиваемых процессов) и ключ в связке дешифраторов XOR.

В арсенале зловреда эксперты суммарно насчитали 13 эксплойтов. Соответствующие уязвимости в IP-камерах, серверах, роутерах позволяют удаленно выполнить любой код — например, CVE-2019-15107 в админ-интерфейсе Webmi или прошлогодняя CVE-2022-26134 в Atlassian Confluence.

 

При запуске вредонос выводит в консоль сообщение xXxSlicexXxxVEGA. После этого проводится проверка на наличие в системе других экземпляров V3G4; при положительном результате клиент бота печатает ту же строку и завершает свой процесс.

 

Боты V3G4 также умеют избавляться от конкурентов; их стоп-лист процессов содержит четыре десятка имен, в том числе Masuta, Mozi и Reaper. Как и большинство наследников Mirai, новый IoT-зловред обладает DDoS-функциональностью, однако из техник ему подвластен только флуд — UDP, SYN, ACK и HTTP.

Кибератаки на российскую промышленность выросли почти на треть

Российскую промышленность в 2026 году продолжают активно проверять на прочность. По данным «Лаборатории Касперского», в первом полугодии число обнаруженных и предотвращённых ИБ-инцидентов в отрасли выросло на 31% по сравнению с тем же периодом 2025 года. Особенно досталось транспортно-логистическому сектору.

Там количество атак подскочило сразу на 75%, а инцидентов высокой критичности стало больше на 30%.

Более того, доля серьёзных инцидентов в логистике оказалась почти на 50% выше среднего уровня по России. Если где-то киберугрозы стучат в дверь, то в логистике они уже пытаются вынести её плечом.

Среди главных угроз для промышленности остаются шифровальщики. По данным Kaspersky ICS CERT, в первом квартале 2026 года доля компьютеров, столкнувшихся с такими вредоносными программами, выросла на 97% год к году.

Также заметно прибавили шпионские программы, бэкдоры и кейлоггеры: их блокировали на 50% чаще. Отдельно эксперты отмечают вредоносы для AutoCAD — их доля составила 16%.

Злоумышленники атакуют промышленность не только ради выкупа. В логистике кибервзлом может закончиться вполне физической кражей грузов: преступники пытаются скомпрометировать участников цепочки, искать инсайдеров, фишить сотрудников и использовать уязвимости IoT-устройств на складах и транспорте.

Ещё одно направление — кибершпионаж. У предприятий пытаются украсть технологическую документацию, данные о мощностях, результаты НИОКР и другую информацию, которую явно не выкладывают в презентациях для партнёров.

Растут и риски для OT-систем, которые хотя бы эпизодически имеют доступ к интернету. В первом квартале доля компьютеров АСУ ТП, где обнаружили угрозы из сети, выросла на 6%.

ИИ тоже уже в деле. Одни группировки используют чат-ботов для переговоров о выкупе, другие маскируют вредоносы под ИИ-инструменты или применяют LLM при разработке кода. Промышленность цифровизуется, и атакующие, увы, тоже не сидят на кнопочных телефонах.

RSS: Новости на портале Anti-Malware.ru