حملة هجوم إنترنت الأشياء باستخدام شبكة بوت نت RondoDox
كشف محللو الأمن السيبراني عن حملة متواصلة استمرت قرابة تسعة أشهر، استهدفت بنشاط أجهزة إنترنت الأشياء وتطبيقات الويب. وكان الهدف من هذه العملية هو تجنيد الأنظمة الضعيفة في شبكة بوت نت تُعرف باسم RondoDox، مما يدل على صبر المهاجمين ونضجهم العملياتي.
جدول المحتويات
React2Shell: نقطة الدخول الحاسمة
في ديسمبر 2025، رصد الباحثون حملةً تستغل ثغرة React2Shell (CVE-2025-55182) كآلية وصول أولية رئيسية. هذه الثغرة الخطيرة، الحاصلة على درجة خطورة 10.0 وفقًا لمعيار CVSS، تؤثر على مكونات خادم React (RSC) وتطبيقات Next.js. في حال عدم ترقيعها، تسمح بتنفيذ تعليمات برمجية عن بُعد دون مصادقة، مما يمنح المهاجمين سيطرة كاملة على الأنظمة المكشوفة.
التعرض على نطاق واسع: التأثير العالمي
تشير بيانات القياس عن بُعد التي جُمعت حتى أواخر ديسمبر 2025 إلى أن حوالي 90,300 نظامًا لا تزال مُعرّضة للخطر في جميع أنحاء العالم. تقع غالبية هذه الأنظمة في الولايات المتحدة، حيث يبلغ عددها حوالي 68,400 نظام. وتشمل المناطق الأخرى المتضررة بشكل كبير ألمانيا (حوالي 4,300 نظام)، وفرنسا (2,800 نظام)، والهند (1,500 نظام)، مما يُؤكد النطاق العالمي لهذه المشكلة.
روندوكس يطور ترسانة استغلاله
تم اكتشاف مجموعة RondoDox لأول مرة في أوائل عام 2025، وقد وسّعت قدراتها بشكل مطرد من خلال دمج ثغرات أمنية إضافية من نوع N-day في أدوات استغلالها. تشمل هذه الثغرات CVE-2023-1389 وCVE-2025-24893. وكانت تقارير سابقة قد حذّرت من استخدام شبكة الروبوتات هذه لبرنامج React2Shell، مما يُسلّط الضوء على اتجاه الاستغلال السريع للثغرات المكتشفة حديثًا.
ثلاث مراحل للتصعيد
قبل استخدام ثغرة CVE-2025-55182 كسلاح، تقدمت حملة RondoDox من خلال دورة تصعيد منظمة:
مارس - أبريل 2025 : استطلاع مركز مقترن باكتشاف الثغرات الأمنية واختبارها يدويًا.
أبريل - يونيو 2025 : عمليات فحص يومية واسعة النطاق لمنصات الويب الشائعة مثل WordPress و Drupal و Struts2، إلى جانب أجهزة إنترنت الأشياء، بما في ذلك أجهزة توجيه Wavlink.
يوليو - أوائل ديسمبر 2025 : نشر آلي بالكامل، يتم كل ساعة، مصمم لتحقيق أقصى قدر من الوصول والاستمرارية.
هجمات ديسمبر: الحمولة والاستمرارية
خلال النشاط الذي رُصد في ديسمبر 2025، قام المهاجمون بفحص خوادم Next.js المكشوفة وحاولوا نشر مكونات خبيثة متعددة. وشملت هذه المكونات برامج تعدين العملات المشفرة، وبرنامج تحميل شبكات الروبوتات، وأداة فحص السلامة، بالإضافة إلى نسخة معدلة من شبكة الروبوتات مبنية على Mirai ومصممة خصيصًا لأنظمة x86.
يلعب مكون رئيسي، يُسمى "/nuts/bolts"، دورًا دفاعيًا للمهاجمين. فهو يُنهي بشكل منهجي البرامج الضارة المنافسة وبرامج تعدين العملات الرقمية قبل استعادة ملف البوت الرئيسي من بنية التحكم والسيطرة (C2). ويقوم أحد المتغيرات المعروفة بتنظيف الأجهزة المصابة بشكل مكثف عن طريق إزالة آثار شبكات البوت المنافسة، والحمولات القائمة على Docker، وبقايا الحملات السابقة، ومهام cron المرتبطة بها، مع ضمان استمراريتها في الوقت نفسه من خلال تعديلات على ملف /etc/crontab.
يعزز هذا البرنامج الخبيث احتكاره من خلال المسح المستمر لنظام ملفات /proc لتحديد الملفات التنفيذية النشطة، وإنهاء أي عمليات غير مدرجة في القائمة البيضاء كل 45 ثانية تقريبًا. ويمنع هذا السلوك بشكل فعال محاولات إعادة الإصابة من قبل جهات تهديد أخرى.
تقليل المخاطر والحد من التعرض
لمواجهة التهديد الذي يشكله برنامج RondoDox، ينبغي على فرق الأمن تبني استراتيجية دفاعية متعددة الطبقات:
- قم بترقية عمليات نشر Next.js على الفور إلى إصدارات محدثة بالكامل تعالج CVE-2025-55182.
- عزل أجهزة إنترنت الأشياء داخل شبكات VLAN مخصصة للحد من الحركة الجانبية.
- قم بتطبيق جدران الحماية لتطبيقات الويب (WAFs) وراقب باستمرار تنفيذ العمليات الشاذة.
- قم بحظر البنية التحتية المعروفة للتحكم والسيطرة المرتبطة بشبكة الروبوتات بشكل استباقي.
تساهم هذه الإجراءات مجتمعة في تقليل احتمالية الاختراق بشكل كبير وتساعد في احتواء تأثير نشاط شبكة الروبوتات المستمر.
