RondoDoxi botneti IoT rünnakukampaania
Küberjulgeolekuanalüütikud on paljastanud umbes üheksa kuud kestnud äärmiselt järjekindla kampaania, mis on aktiivselt sihikule võtnud asjade interneti (IoT) seadmeid ja veebirakendusi. Selle operatsiooni eesmärk oli koondada haavatavad süsteemid botnetisse nimega RondoDox, mis näitab nii ründajate kannatlikkust kui ka operatiivset küpsust.
Sisukord
React2Shell: kriitiline sisenemispunkt
2025. aasta detsembri seisuga täheldasid teadlased kampaaniat, mis kasutas oma peamise esmase juurdepääsu mehhanismina ära React2Shelli (CVE-2025-55182). See kriitiline haavatavus, mille CVSS-skoor on 10,0, mõjutab React Server Componentsi (RSC) ja Next.js implementatsioone. Paiga eemaldamata võimaldab see autentimata koodi kaugkäivitamist, andes ründajatele sisuliselt täieliku kontrolli haavatavate süsteemide üle.
Mõju ulatuse järgi: globaalne mõju
2025. aasta detsembri lõpuks kogutud telemeetriaandmed näitavad, et kogu maailmas on ligikaudu 90 300 haavatavat juhtumit. Enamik neist asub Ameerika Ühendriikides, moodustades umbes 68 400 süsteemi. Teiste oluliselt mõjutatud piirkondade hulka kuuluvad Saksamaa umbes 4300 juhtumiga, Prantsusmaa 2800 ja India 1500 juhtumiga, mis rõhutab probleemi globaalset ulatust.
RondoDox arendab oma ekspluateerimisarsenali
RondoDox, mis tuvastati esmakordselt 2025. aasta alguses, on pidevalt oma võimeid laiendanud, lisades oma ärakasutamise tööriistakomplekti täiendavaid N-päeva haavatavusi. Nende hulka kuuluvad CVE-2023-1389 ja CVE-2025-24893. Varasemad aruanded olid juba hoiatanud botneti React2Shelli kasutamise eest, rõhutades suundumust äsja avalikustatud puuduste kiireks relvaks muutmiseks.
Eskalatsiooni kolm faasi
Enne CVE-2025-55182 relvaks muutmist läbis RondoDoxi kampaania struktureeritud eskalatsioonitsükli:
Märts–aprill 2025 : Sihipärane luure koos haavatavuste käsitsi avastamise ja testimisega.
Aprill–juuni 2025 : Igapäevane ja ulatuslik levinute veebiplatvormide (nt WordPress, Drupal ja Struts2) ning asjade interneti riistvara (sh Wavlinki ruuterite) uurimine.
Juuli – detsembri algus 2025 : Täisautomaatne, tunnipõhine juurutamine, mis on loodud maksimaalse ulatuse ja püsivuse tagamiseks.
Detsembri rünnakud: kasulik koormus ja püsivus
2025. aasta detsembris täheldatud tegevuse käigus skannisid pahatahtlikud tegutsejad haavatavaid Next.js servereid ja üritasid juurutada mitmeid pahatahtlikke komponente. Nende hulka kuulusid krüptovaluuta kaevandajad, botneti laadur ja tervisekontrolli utiliit ning Mirai-põhine botneti variant, mis on kohandatud x86 süsteemidele.
Põhikomponent „/nuts/bolts” mängib ründajate jaoks kaitserolli. See peatab süstemaatiliselt konkureeriva pahavara ja mündikaevandajad enne peamise boti binaarfaili hankimist oma juhtimis- ja juhtimisinfrastruktuurist (C2). Üks tuvastatud variant puhastab nakatunud hoste agressiivselt, eemaldades jäljed konkureerivatest botnetidest, Dockeri-põhistest kasulikest koormustest, varasemate kampaaniate jäänustest ja seotud cron-töödest, luues samal ajal püsivuse /etc/crontab faili muutmise kaudu.
Pahavara jõustab eksklusiivsust pidevalt /proc failisüsteemi skannides, et tuvastada aktiivseid käivitatavaid faile ja peatada kõik mittevalgesse nimekirja kantud protsessid umbes iga 45 sekundi järel. See käitumine blokeerib tõhusalt teiste ohtude uuesti nakatumise katsed.
Riski vähendamine ja kokkupuute piiramine
RondoDoxi ohu tõrjumiseks peaksid turvameeskonnad võtma kasutusele mitmekihilise kaitsestrateegia:
- Värskendage Next.js juurutused viivitamatult täielikult parandatud versioonidele, mis käsitlevad CVE-2025-55182.
- Isoleerige IoT-seadmed spetsiaalsetesse VLAN-idesse, et piirata külgmist liikumist.
- Rakenda veebirakenduste tulemüüre (WAF) ja jälgi pidevalt anomaalsete protsesside täitmist.
- Blokeeri ennetavalt teadaolevat botnetiga seotud juhtimis- ja kontrolliinfrastruktuuri.
Kokkuvõttes vähendavad need meetmed oluliselt ohtu sattumise tõenäosust ja aitavad ohjeldada käimasoleva botnetitegevuse mõju.
