রন্ডোডক্স বটনেট আইওটি আক্রমণ প্রচারণা
সাইবার নিরাপত্তা বিশ্লেষকরা প্রায় নয় মাস ধরে চলমান একটি অত্যন্ত ধারাবাহিক অভিযানের সন্ধান পেয়েছেন যা সক্রিয়ভাবে ইন্টারনেট অফ থিংস (IoT) ডিভাইস এবং ওয়েব অ্যাপ্লিকেশনগুলিকে লক্ষ্য করে কাজ করছে। এই অভিযানের উদ্দেশ্য ছিল দুর্বল সিস্টেমগুলিকে রন্ডোডক্স নামে একটি বটনেটে রূপান্তরিত করা, যা আক্রমণকারীদের ধৈর্য এবং কর্মক্ষম পরিপক্কতা উভয়ই প্রদর্শন করে।
সুচিপত্র
React2Shell: গুরুত্বপূর্ণ প্রবেশ বিন্দু
২০২৫ সালের ডিসেম্বর পর্যন্ত, গবেষকরা লক্ষ্য করেছেন যে প্রচারণাটি React2Shell (CVE-2025-55182) কে তার প্রাথমিক অ্যাক্সেস প্রক্রিয়া হিসাবে ব্যবহার করছে। এই গুরুত্বপূর্ণ দুর্বলতা, যার CVSS স্কোর ১০.০, React Server Components (RSC) এবং Next.js বাস্তবায়নকে প্রভাবিত করে। প্যাচ না করা হলে, এটি অপ্রমাণিত রিমোট কোড কার্যকর করার অনুমতি দেয়, কার্যকরভাবে আক্রমণকারীদের উন্মুক্ত সিস্টেমের উপর সম্পূর্ণ নিয়ন্ত্রণ প্রদান করে।
স্কেলে এক্সপোজার: বিশ্বব্যাপী প্রভাব
২০২৫ সালের ডিসেম্বরের শেষের দিকে সংগৃহীত টেলিমেট্রি ইঙ্গিত দেয় যে বিশ্বব্যাপী প্রায় ৯০,৩০০ ঝুঁকিপূর্ণ ঘটনা এখনও উন্মুক্ত রয়েছে। বেশিরভাগই মার্কিন যুক্তরাষ্ট্রে অবস্থিত, যার মধ্যে প্রায় ৬৮,৪০০ সিস্টেম রয়েছে। অন্যান্য উল্লেখযোগ্যভাবে প্রভাবিত অঞ্চলগুলির মধ্যে রয়েছে জার্মানি যেখানে প্রায় ৪,৩০০টি ঘটনা, ফ্রান্সে ২,৮০০টি এবং ভারতে ১,৫০০টি, যা এই সমস্যার বিশ্বব্যাপী প্রসারকে তুলে ধরে।
রন্ডোডক্স তার এক্সপ্লয়েট আর্সেনাল বিকশিত করে
২০২৫ সালের গোড়ার দিকে প্রথম শনাক্ত হওয়া রন্ডোডক্স তার এক্সপ্লোয়েশন টুলকিটে অতিরিক্ত এন-ডে দুর্বলতা অন্তর্ভুক্ত করে তার ক্ষমতা ক্রমাগতভাবে প্রসারিত করেছে। এর মধ্যে রয়েছে CVE-2023-1389 এবং CVE-2025-24893। পূর্ববর্তী প্রতিবেদনে ইতিমধ্যেই বটনেটের React2Shell ব্যবহারের বিষয়ে সতর্ক করা হয়েছিল, যা নতুন প্রকাশিত ত্রুটিগুলিকে দ্রুত অস্ত্র হিসেবে ব্যবহারের প্রবণতা তুলে ধরেছিল।
ক্রমবর্ধমান গতির তিনটি পর্যায়
CVE-2025-55182 কে অস্ত্র হিসেবে ব্যবহার করার আগে, RondoDox প্রচারণা একটি কাঠামোগত বৃদ্ধি চক্রের মধ্য দিয়ে এগিয়েছিল:
মার্চ-এপ্রিল ২০২৫ : ম্যানুয়াল দুর্বলতা আবিষ্কার এবং পরীক্ষার সাথে কেন্দ্রীভূত পুনরুদ্ধার।
এপ্রিল-জুন ২০২৫ : ওয়ার্ডপ্রেস, ড্রুপাল এবং স্ট্রুটস২ এর মতো সাধারণ ওয়েব প্ল্যাটফর্মগুলির দৈনিক, বৃহৎ পরিসরে অনুসন্ধান, আইওটি হার্ডওয়্যারের পাশাপাশি, ওয়াভলিংক রাউটারগুলিও।
জুলাই-ডিসেম্বরের প্রথম দিকে ২০২৫ : সর্বাধিক নাগাল এবং স্থায়িত্বের জন্য সম্পূর্ণ স্বয়ংক্রিয়, ঘন্টায় স্থাপনা।
ডিসেম্বরের আক্রমণ: পেলোড এবং অধ্যবসায়
২০২৫ সালের ডিসেম্বরে পর্যবেক্ষণ করা কার্যকলাপের সময়, হুমকিদাতারা উন্মুক্ত Next.js সার্ভারগুলির জন্য স্ক্যান করেছিল এবং একাধিক ক্ষতিকারক উপাদান স্থাপন করার চেষ্টা করেছিল। এর মধ্যে ছিল ক্রিপ্টোকারেন্সি মাইনার, একটি বটনেট লোডার এবং স্বাস্থ্য-চেক ইউটিলিটি এবং x86 সিস্টেমের জন্য তৈরি একটি মিরাই-ভিত্তিক বটনেট ভেরিয়েন্ট।
একটি মূল উপাদান, '/nuts/bolts', আক্রমণকারীদের জন্য একটি প্রতিরক্ষামূলক ভূমিকা পালন করে। এটি তার কমান্ড-এন্ড-কন্ট্রোল (C2) অবকাঠামো থেকে প্রাথমিক বট বাইনারি পুনরুদ্ধার করার আগে প্রতিযোগী ম্যালওয়্যার এবং কয়েন মাইনারদের পদ্ধতিগতভাবে বন্ধ করে দেয়। একটি চিহ্নিত রূপ প্রতিদ্বন্দ্বী বটনেট, ডকার-ভিত্তিক পেলোড, পূর্ববর্তী প্রচারণার অবশিষ্টাংশ এবং সংশ্লিষ্ট ক্রোন জবের চিহ্ন মুছে ফেলার মাধ্যমে সংক্রামিত হোস্টগুলিকে আক্রমণাত্মকভাবে পরিষ্কার করে, একই সাথে /etc/crontab-এ পরিবর্তনের মাধ্যমে স্থায়িত্ব প্রতিষ্ঠা করে।
এই ম্যালওয়্যারটি সক্রিয় এক্সিকিউটেবল সনাক্ত করার জন্য /proc ফাইল সিস্টেমকে ক্রমাগত স্ক্যান করে এক্সক্লুসিভিটি আরও জোরদার করে, প্রায় প্রতি ৪৫ সেকেন্ডে যেকোনো অ-শ্বেত তালিকাভুক্ত প্রক্রিয়া বন্ধ করে দেয়। এই আচরণ কার্যকরভাবে অন্যান্য হুমকি দাতাদের দ্বারা পুনরায় সংক্রমণের প্রচেষ্টাকে ব্লক করে।
ঝুঁকি হ্রাস এবং এক্সপোজার সীমিত করা
রন্ডোডক্সের হুমকি মোকাবেলায়, নিরাপত্তা দলগুলিকে একটি স্তরযুক্ত প্রতিরক্ষামূলক কৌশল গ্রহণ করা উচিত:
- অবিলম্বে Next.js ডিপ্লয়মেন্টগুলিকে CVE-2025-55182 সম্বোধনকারী সম্পূর্ণ প্যাচ করা সংস্করণে আপগ্রেড করুন।
- পার্শ্বীয় নড়াচড়া সীমিত করতে ডেডিকেটেড VLAN-এর মধ্যে IoT ডিভাইসগুলিকে আলাদা করুন।
- ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল (WAF) বাস্তবায়ন করুন এবং অস্বাভাবিক প্রক্রিয়া সম্পাদনের জন্য ক্রমাগত পর্যবেক্ষণ করুন।
- বটনেটের সাথে সম্পর্কিত পরিচিত কমান্ড-এন্ড-কন্ট্রোল অবকাঠামো সক্রিয়ভাবে ব্লক করুন।
একসাথে নিলে, এই ব্যবস্থাগুলি আপসের সম্ভাবনা উল্লেখযোগ্যভাবে হ্রাস করে এবং চলমান বটনেট কার্যকলাপের প্রভাব নিয়ন্ত্রণে সহায়তা করে।
