Кампания за атака срещу ботнет мрежа на RondoDox
Анализатори по киберсигурност разкриха изключително упорита кампания, продължаваща приблизително девет месеца, която активно е била насочена към устройства и уеб приложения от Интернет на нещата (IoT). Целта на тази операция е била да се въвлекат уязвими системи в ботнет, наречен RondoDox, демонстрирайки както търпение, така и оперативна зрялост от страна на нападателите.
Съдържание
React2Shell: Критичната входна точка
Към декември 2025 г. изследователите наблюдаваха кампания, използваща React2Shell (CVE-2025-55182) като основен механизъм за първоначален достъп. Тази критична уязвимост, носеща CVSS оценка от 10.0, засяга имплементациите на React Server Components (RSC) и Next.js. Когато не бъде отстранена, тя позволява неавторизирано дистанционно изпълнение на код, като по този начин ефективно предоставя на атакуващите пълен контрол над откритите системи.
Експозиция в голям мащаб: Глобално въздействие
Телеметрията, събрана до края на декември 2025 г., показва, че приблизително 90 300 уязвими екземпляра остават изложени на риск по целия свят. По-голямата част се намират в Съединените щати, което представлява приблизително 68 400 системи. Други значително засегнати региони включват Германия с около 4300 екземпляра, Франция с 2800 и Индия с 1500, което подчертава глобалния обхват на проблема.
RondoDox развива своя арсенал от експлойти
Идентифицирана за първи път в началото на 2025 г., RondoDox непрекъснато разширява възможностите си, като включва допълнителни N-дневни уязвимости в своя набор от инструменти за експлоатация. Те включват CVE-2023-1389 и CVE-2025-24893. Предишни доклади вече предупреждаваха за използването на React2Shell от ботнета, подчертавайки тенденцията за бързо превръщане на новоразкритите недостатъци в оръжие.
Три фази на ескалация
Преди да превърне CVE-2025-55182 в оръжие, кампанията RondoDox премина през структуриран цикъл на ескалация:
Март–април 2025 г .: Фокусирано разузнаване, съчетано с ръчно откриване и тестване на уязвимости.
Април–юни 2025 г .: Ежедневно, мащабно сондиране на често срещани уеб платформи като WordPress, Drupal и Struts2, наред с IoT хардуер, включително рутери Wavlink.
Юли – началото на декември 2025 г .: Напълно автоматизирано, почасово внедряване, проектирано за максимален обхват и постоянство.
Декемврийски атаки: Полезни товари и постоянство
По време на наблюдаваната активност през декември 2025 г., злонамерени лица са сканирали за открити Next.js сървъри и са се опитали да внедрят множество злонамерени компоненти. Те включват миньори на криптовалута, помощна програма за зареждане и проверка на състоянието на ботнет мрежа, както и вариант на ботнет мрежа, базиран на Mirai, пригоден за x86 системи.
Ключов компонент, „/nuts/bolts“, играе защитна роля за нападателите. Той систематично прекратява конкурентния зловреден софтуер и миньорите на монети, преди да извлече основния двоичен файл на бота от неговата командно-контролна (C2) инфраструктура. Един идентифициран вариант агресивно почиства заразените хостове, като премахва следи от конкурентни ботнети, Docker-базирани полезни товари, останки от по-ранни кампании и свързани cron задачи, като едновременно с това установява устойчивост чрез модификации на /etc/crontab.
Зловредният софтуер допълнително налага ексклузивност, като непрекъснато сканира файловата система /proc, за да идентифицира активни изпълними файлове, като прекратява всички процеси, които не са в белия списък, приблизително на всеки 45 секунди. Това поведение ефективно блокира опитите за повторно заразяване от други злонамерени лица.
Намаляване на риска и ограничаване на експозицията
За да се противодейства на заплахата, породена от RondoDox, екипите по сигурността трябва да възприемат многопластова защитна стратегия:
- Незабавно актуализирайте внедряванията на Next.js до напълно актуализирани версии, адресиращи CVE-2025-55182.
- Изолирайте IoT устройствата в рамките на специални VLAN мрежи, за да ограничите страничното движение.
- Внедрете защитни стени за уеб приложения (WAF) и непрекъснато наблюдавайте за аномално изпълнение на процеси.
- Проактивно блокирайте известната инфраструктура за командване и контрол, свързана с ботнета.
Взети заедно, тези мерки значително намаляват вероятността от компрометиране и спомагат за ограничаване на въздействието на продължаващата ботнет активност.
