Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Botnets Εκστρατεία επίθεσης RondoDox Botnet IoT

Εκστρατεία επίθεσης RondoDox Botnet IoT

Μέχρι το Mezo το Botnets
Μετάφραση σε:

Αναλυτές κυβερνοασφάλειας αποκάλυψαν μια εξαιρετικά επίμονη εκστρατεία διάρκειας περίπου εννέα μηνών που είχε στοχεύσει ενεργά συσκευές και εφαρμογές ιστού του Διαδικτύου των Πραγμάτων (IoT). Στόχος αυτής της επιχείρησης ήταν η στρατολόγηση ευάλωτων συστημάτων σε ένα botnet με την ονομασία RondoDox, επιδεικνύοντας τόσο υπομονή όσο και επιχειρησιακή ωριμότητα εκ μέρους των εισβολέων.

React2Shell: Το κρίσιμο σημείο εισόδου

Από τον Δεκέμβριο του 2025, οι ερευνητές παρατήρησαν την καμπάνια να εκμεταλλεύεται το React2Shell (CVE-2025-55182) ως τον κύριο μηχανισμό αρχικής πρόσβασης. Αυτή η κρίσιμη ευπάθεια, με βαθμολογία CVSS 10,0, επηρεάζει τις υλοποιήσεις React Server Components (RSC) και Next.js. Όταν δεν έχει γίνει ενημέρωση κώδικα, επιτρέπει την μη εξουσιοδοτημένη απομακρυσμένη εκτέλεση κώδικα, παρέχοντας ουσιαστικά στους εισβολείς πλήρη έλεγχο επί των εκτεθειμένων συστημάτων.

Έκθεση σε Κλίμακα: Παγκόσμιος Αντίκτυπος

Τα δεδομένα τηλεμετρίας που συλλέχθηκαν έως τα τέλη Δεκεμβρίου 2025 δείχνουν ότι περίπου 90.300 ευάλωτες περιπτώσεις παραμένουν εκτεθειμένες παγκοσμίως. Η πλειονότητα βρίσκεται στις Ηνωμένες Πολιτείες, αντιπροσωπεύοντας περίπου 68.400 συστήματα. Άλλες περιοχές που επηρεάζονται σημαντικά περιλαμβάνουν τη Γερμανία με περίπου 4.300 περιπτώσεις, τη Γαλλία με 2.800 και την Ινδία με 1.500, υπογραμμίζοντας την παγκόσμια εμβέλεια του προβλήματος.

Το RondoDox εξελίσσει το οπλοστάσιό του

Το RondoDox, το οποίο εντοπίστηκε για πρώτη φορά στις αρχές του 2025, έχει επεκτείνει σταθερά τις δυνατότητές του ενσωματώνοντας επιπλέον ευπάθειες N-day στο κιτ εργαλείων εκμετάλλευσης. Αυτές περιλαμβάνουν τα CVE-2023-1389 και CVE-2025-24893. Προηγούμενες αναφορές είχαν ήδη προειδοποιήσει για τη χρήση του React2Shell από το botnet, υπογραμμίζοντας μια τάση ταχείας οπλοποίησης των πρόσφατα αποκαλυφθέντων ελαττωμάτων.

Τρεις Φάσεις Κλιμάκωσης

Πριν από την οπλοποίηση του CVE-2025-55182, η καμπάνια RondoDox προχώρησε μέσα από έναν δομημένο κύκλο κλιμάκωσης:

Μάρτιος–Απρίλιος 2025 : Εστιασμένη αναγνώριση σε συνδυασμό με χειροκίνητη ανακάλυψη και δοκιμή ευπαθειών.

Απρίλιος–Ιούνιος 2025 : Καθημερινή, μεγάλης κλίμακας έρευνα σε κοινές πλατφόρμες ιστού όπως το WordPress, το Drupal και το Struts2, παράλληλα με υλικό IoT, συμπεριλαμβανομένων των δρομολογητών Wavlink.

Ιούλιος–αρχές Δεκεμβρίου 2025 : Πλήρως αυτοματοποιημένη, ωριαία ανάπτυξη σχεδιασμένη για μέγιστη εμβέλεια και ανθεκτικότητα.

Επιθέσεις Δεκεμβρίου: Ωφέλιμα φορτία και επιμονή

Κατά τη διάρκεια της δραστηριότητας που παρατηρήθηκε τον Δεκέμβριο του 2025, οι απειλητικοί παράγοντες σάρωσαν για εκτεθειμένους διακομιστές Next.js και επιχείρησαν να αναπτύξουν πολλά κακόβουλα στοιχεία. Αυτά περιελάμβαναν εξορύκτες κρυπτονομισμάτων, ένα πρόγραμμα φόρτωσης botnet και ένα βοηθητικό πρόγραμμα ελέγχου εύρυθμης λειτουργίας, καθώς και μια παραλλαγή botnet που βασίζεται στο Mirai, προσαρμοσμένη για συστήματα x86.

Ένα βασικό στοιχείο, το '/nuts/bolts', παίζει αμυντικό ρόλο για τους επιτιθέμενους. Τερματίζει συστηματικά ανταγωνιστικά κακόβουλα προγράμματα και εξορύκτες νομισμάτων πριν ανακτήσει το κύριο δυαδικό αρχείο bot από την υποδομή command-and-control (C2) του. Μία εντοπισμένη παραλλαγή καθαρίζει επιθετικά τους μολυσμένους κεντρικούς υπολογιστές αφαιρώντας ίχνη ανταγωνιστικών botnet, ωφέλιμα φορτία που βασίζονται στο Docker, υπολείμματα προηγούμενων καμπανιών και σχετικές εργασίες cron, ενώ ταυτόχρονα δημιουργεί persistence μέσω τροποποιήσεων στο /etc/crontab.

Το κακόβουλο λογισμικό επιβάλλει περαιτέρω την αποκλειστικότητα σαρώνοντας συνεχώς το σύστημα αρχείων /proc για τον εντοπισμό ενεργών εκτελέσιμων αρχείων, τερματίζοντας τυχόν διεργασίες που δεν βρίσκονται στη λίστα επιτρεπόμενων περίπου κάθε 45 δευτερόλεπτα. Αυτή η συμπεριφορά εμποδίζει αποτελεσματικά τις προσπάθειες επαναμόλυνσης από άλλους απειλητικούς παράγοντες.

Μείωση του Κινδύνου και Περιορισμός της Έκθεσης

Για να αντιμετωπίσουν την απειλή που θέτει το RondoDox, οι ομάδες ασφαλείας θα πρέπει να υιοθετήσουν μια πολυεπίπεδη αμυντική στρατηγική:

  • Αναβαθμίστε άμεσα τις αναπτύξεις του Next.js σε πλήρως ενημερωμένες εκδόσεις που αφορούν το CVE-2025-55182.
  • Απομονώστε τις συσκευές IoT εντός αποκλειστικών VLAN για να περιορίσετε την πλευρική κίνηση.
  • Εφαρμόστε τείχη προστασίας εφαρμογών ιστού (WAF) και παρακολουθήστε συνεχώς για τυχόν ανωμαλίες στην εκτέλεση διεργασιών.
  • Αποκλείστε προληπτικά γνωστή υποδομή εντολών και ελέγχου που σχετίζεται με το botnet.

Συνολικά, αυτά τα μέτρα μειώνουν σημαντικά την πιθανότητα παραβίασης και βοηθούν στον περιορισμό των επιπτώσεων της συνεχιζόμενης δραστηριότητας των botnet.

Τάσεις

Σημαντική ειδοποίηση σχετικά με την απάτη μέσω email...

Phishing, Ανεπιθύμητη αλληλογραφία
Τα απροσδόκητα email που απαιτούν επείγουσα προσοχή αποτελούν ένα αγαπημένο όπλο των κυβερνοεγκληματιών. Δεν μπορεί να τονιστεί αρκετά πόσο σημαντικό είναι να παραμένετε σε εγρήγορση όταν εμφανίζονται μηνύματα ξαφνικά, ειδικά εκείνα που προειδοποιούν για προβλήματα λογαριασμού ή πρόσφατα δημοσιευμένα έγγραφα. Μια τέτοια απειλή που κυκλοφορεί στο διαδίκτυο είναι η απάτη email «Invoices Are Being...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
29,540
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...