شبكة بوت نت RondoDox
توسّعت حملات البرمجيات الخبيثة التي تستغل شبكة بوت نت RondoDox بشكل كبير في نطاق هجومها، حيث تستهدف الآن أكثر من 50 ثغرة أمنية لدى أكثر من 30 موردًا. يصف خبراء الأمن هذا النهج بأنه "هجوم عشوائي"، مما يعكس الاستهداف العشوائي لمجموعة واسعة من البنى التحتية المعرضة للاختراق عبر الإنترنت. تشمل الأنظمة المتضررة أجهزة التوجيه، وأجهزة تسجيل الفيديو الرقمي (DVR)، وأجهزة تسجيل الفيديو الشبكي (NVR)، وأنظمة كاميرات المراقبة، وخوادم الويب، والعديد من الأجهزة الأخرى المتصلة بالشبكة.
جدول المحتويات
الغزوات المبكرة والسياق التاريخي
رُصد أول نشاط ملحوظ لـ RondoDox في يوليو 2025، عندما وثّق الباحثون هجمات على أجهزة تسجيل الفيديو الرقمي TBK وأجهزة توجيه Four-Faith. استُخدمت هذه الأجهزة في شبكة بوت نت مصممة لتنفيذ هجمات حجب الخدمة الموزعة (DDoS) عبر بروتوكولات HTTP وUDP وTCP.
تم اكتشاف محاولة اختراق محددة في 15 يونيو 2025، استهدفت أجهزة توجيه TP-Link Archer عبر CVE-2023-1389، وهو خلل تم استغلاله بشكل متكرر منذ الكشف عنه في أواخر عام 2022. تسلط هذه الحوادث الضوء على التطور المستمر لـ RondoDox من هجمات انتهازية على جهاز واحد إلى حملات أوسع وأكثر تنسيقًا.
التوزيع الموسع من خلال خدمة Loader-as-a-Service
اعتمدت شركة RondoDox مؤخرًا نموذج "المُحمِّل كخدمة" (LaaS)، حيث تُجمِّع حمولتها مع برمجيتي Mirai وMorte الخبيثتين. يسمح هذا التكتيك للمهاجمين بتوزيع تهديدات متعددة في آنٍ واحد، مما يُعقِّد جهود الكشف عنها ومعالجتها.
وتتضمن الخصائص الرئيسية لهذه الحملة الموسعة ما يلي:
- استخدام بيانات اعتماد ضعيفة ومدخلات غير معقمة وثغرات أمنية شائعة قديمة لاختراق الأجهزة
- استهداف أجهزة توجيه SOHO وأجهزة إنترنت الأشياء وتطبيقات المؤسسات
- استغلال متعدد المتجهات، مما يشير إلى التحول من الانتهازية باستخدام جهاز واحد إلى نشر شبكة بوت نت بشكل منسق
ترسانة استغلال واسعة النطاق
يستخدم RondoDox الآن ما يقرب من 56 ثغرة أمنية، 18 منها لا تزال بدون مُعرِّفات CVE. تشمل الأنظمة المُستغَلّة مجموعة واسعة من البائعين، بما في ذلك:
D-Link، TVT، LILIN، Fiberhome، Linksys، BYTEVALUE، ASMAX، Brickcom، IQrouter، Ricon، Nexxt، NETGEAR، Apache، TBK، TOTOLINK، Meteobridge، Digiever، Edimax، QNAP، GNU، Dasan، Tenda، LB-LINK، AVTECH، Zyxel، Hytec Inter، Belkin، Billion، وCisco.
وتُظهِر هذه الترسانة المتنامية مدى تطور شبكات الروبوتات بشكل متزايد وقدرتها على استغلال الثغرات الأمنية المعروفة وغير الموثقة سابقًا.
الآثار المترتبة على الأمن السيبراني
تُمثل حملات RondoDox الأخيرة تطورًا ملحوظًا في استغلال الشبكات الآلي. فمن خلال دمج عمليات "المُحمّل كخدمة" مع مجموعة مُوسّعة من ثغرات الاستغلال، يتجاوز المهاجمون الهجمات الانتهازية على الأجهزة الفردية إلى عمليات بوت نت استراتيجية متعددة النواقل.
يتعين على فرق الأمن أن تظل يقظة، وتعطي الأولوية لتصحيح الثغرات الأمنية المعروفة، ومراقبة نشاط الشبكة المشبوه، ونشر أدوات الكشف الاستباقي للتخفيف من المخاطر التي تشكلها هذه التهديدات سريعة التطور.
