קמפיין מתקפת הבוטנט של RondoDox על IoT

אנליסטים של אבטחת סייבר חשפו קמפיין מתמשך ביותר שנמשך כתשעה חודשים, שכוון באופן פעיל נגד מכשירי אינטרנט של הדברים (IoT) ויישומי אינטרנט. מטרת המבצע הייתה לגייס מערכות פגיעות לרשת בוטים בשם RondoDox, ובכך להפגין סבלנות ובגרות מבצעית מצד התוקפים.

React2Shell: נקודת הכניסה הקריטית

נכון לדצמבר 2025, חוקרים צפו בקמפיין המנצל את React2Shell (CVE-2025-55182) כמנגנון הגישה הראשוני העיקרי שלו. פגיעות קריטית זו, הנושאת ציון CVSS של 10.0, משפיעה על יישומים של React Server Components (RSC) ו-Next.js. כאשר היא לא מתוקנת, היא מאפשרת ביצוע קוד מרחוק לא מאומת, ובכך למעשה מעניקה לתוקפים שליטה מלאה על מערכות חשופות.

חשיפה בקנה מידה גדול: השפעה עולמית

טלמטריה שנאספה עד סוף דצמבר 2025 מצביעה על כך שכ-90,300 מקרים פגיעים נותרו חשופים ברחבי העולם. רובם ממוקמים בארצות הברית, המהווים כ-68,400 מערכות. אזורים נוספים שנפגעו באופן משמעותי כוללים את גרמניה עם כ-4,300 מקרים, צרפת עם 2,800 והודו עם 1,500, דבר המדגיש את ההשפעה הגלובלית של הבעיה.

RondoDox מפתחת את ארסנל הניצול שלה

RondoDox, שזוהתה לראשונה בתחילת 2025, הרחיבה בהתמדה את יכולותיה על ידי שילוב פגיעויות נוספות של N ימים בערכת הכלים שלה לניצול נתונים. אלו כוללות את CVE-2023-1389 ו-CVE-2025-24893. דיווחים קודמים כבר הזהירו מפני השימוש של הבוטנט ב-React2Shell, והדגישו מגמה של ניצול מהיר של פגמים חדשים שנחשפו כנשק.

שלושה שלבים של הסלמה

לפני שהפכתי את CVE-2025-55182 לנשק, קמפיין RondoDox עבר דרך מחזור הסלמה מובנה:

מרץ-אפריל 2025 : סיור ממוקד בשילוב עם גילוי ובדיקה ידניים של פגיעויות.

אפריל-יוני 2025 : בדיקה יומית בקנה מידה גדול של פלטפורמות אינטרנט נפוצות כגון WordPress, Drupal ו-Struts2, לצד חומרת IoT, כולל נתבים של Wavlink.

יולי-תחילת דצמבר 2025 : פריסה אוטומטית לחלוטין, מדי שעה, שתוכננה להגעה והתמדה מקסימליים.

מתקפות דצמבר: מטענים והתמדה

במהלך הפעילות שנצפתה בדצמבר 2025, גורמי איום סרקו אחר שרתי Next.js חשופים וניסו לפרוס מספר רכיבים זדוניים. אלה כללו כורי מטבעות קריפטוגרפיים, טוען בוטנטים ושירות לבדיקת תקינות, וגרסה מבוססת Mirai המותאמת למערכות x86.

רכיב מפתח, '/nuts/bolts', ממלא תפקיד הגנתי עבור התוקפים. הוא מסיים באופן שיטתי תוכנות זדוניות וכורי מטבעות מתחרות לפני שהוא מאחזר את קובץ הבוט הבינארי הראשי מתשתית הפיקוד והבקרה (C2) שלו. גרסה אחת שזוהה מנקה באופן אגרסיבי מארחים נגועים על ידי הסרת עקבות של בוטנטים מתחרים, מטענים מבוססי Docker, שרידים של קמפיינים קודמים ומשימות cron קשורות, תוך ביסוס עמידות בו זמנית באמצעות שינויים ב-/etc/crontab.

התוכנה הזדונית אוכפת בלעדיות נוספת על ידי סריקה רציפה של מערכת הקבצים /proc כדי לזהות קבצים הרצה פעילים, תוך סיום כל תהליך שאינו ברשימה הלבנה בערך כל 45 שניות. התנהגות זו חוסמת למעשה ניסיונות הדבקה חוזרת של גורמי איום אחרים.

צמצום הסיכון והגבלת החשיפה

כדי להתמודד עם האיום שמציב RondoDox, צוותי אבטחה צריכים לאמץ אסטרטגיית הגנה מרובדת:

• שדרגו באופן מיידי את פריסות Next.js לגרסאות מתוקנות במלואן המטפלות ב-CVE-2025-55182.
• בידוד התקני IoT בתוך רשתות VLAN ייעודיות כדי להגביל תנועה רוחבית.
• הטמע חומות אש של יישומי אינטרנט (WAFs) ונטר באופן רציף אחר ביצוע תהליכים חריגים.
• חסימה יזומה של תשתית פיקוד ובקרה ידועה הקשורה לבוטנט.

יחד, צעדים אלה מפחיתים משמעותית את הסבירות לפגיעה ועוזרים לבלימת ההשפעה של פעילות בוטנטים מתמשכת.