RondoDox Botnet
Kampanje zlonamjernog softvera koje koriste RondoDox botnet dramatično su proširile svoju površinu napada, sada ciljajući preko 50 ranjivosti kod više od 30 dobavljača. Sigurnosni stručnjaci opisuju ovaj pristup kao 'eksploatatorsku sačmaricu', što odražava neselektivno ciljanje širokog raspona infrastrukture izložene internetu. Pogođeni sustavi uključuju usmjerivače, digitalne video snimače (DVR), mrežne video snimače (NVR), CCTV sustave, web poslužitelje i brojne druge uređaje povezane s mrežom.
Sadržaj
Rani upadi i povijesni kontekst
Prva značajna aktivnost RondoDoxa uočena je u srpnju 2025., kada su istraživači dokumentirali napade na TBK DVR-ove i Four-Faith usmjerivače. Ovi uređaji bili su unovačeni u botnet dizajniran za izvođenje distribuiranih napada uskraćivanja usluge (DDoS) putem HTTP, UDP i TCP protokola.
Specifičan pokušaj upada otkriven je 15. lipnja 2025., usmjeren na TP-Link Archer usmjerivače putem CVE-2023-1389, propusta koji je više puta iskorišten od njegovog otkrivanja krajem 2022. Ovi incidenti naglašavaju kontinuiranu evoluciju RondoDoxa od oportunističkih napada na jedan uređaj do širih, koordiniranijih kampanja.
Proširena distribucija putem usluge učitavanja (Loader-as-a-Service)
RondoDox je nedavno usvojio model loadera kao usluge (LaaS), pakirajući svoj korisni teret uz zlonamjerni softver Mirai i Morte. Ova taktika omogućuje napadačima istovremenu distribuciju više prijetnji, što komplicira napore otkrivanja i sanacije.
Ključne karakteristike ove proširene kampanje uključuju:
- Korištenje slabih vjerodajnica, neprovjerenih unosa i naslijeđenih CVE-ova za kompromitiranje uređaja
- Ciljanje SOHO usmjerivača, IoT uređaja i poslovnih aplikacija
- Višestruko iskorištavanje, što signalizira prelazak s oportunizma na jednom uređaju na koordinirano raspoređivanje botneta
Široko iskorištavajući Arsenal
RondoDox sada koristi gotovo 56 ranjivosti, od kojih 18 ostaje bez CVE identifikatora. Iskorišteni sustavi obuhvaćaju širok raspon dobavljača, uključujući:
D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQrouter, Ricon, Nexxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH, Zyxel, Hytec Inter, Belkin, Billion i Cisco.
Ovaj rastući arsenal pokazuje sve veću sofisticiranost botneta i njegovu sposobnost iskorištavanja i dobro poznatih i prethodno nedokumentiranih ranjivosti.
Implikacije za kibernetičku sigurnost
Najnovije RondoDox kampanje predstavljaju značajnu evoluciju u automatiziranom iskorištavanju mreže. Kombiniranjem operacija loader-as-a-service s proširenim skupom iskorištavanja, napadači prelaze s oportunističkih napada na pojedinačne uređaje prema strateškim, viševektorskim botnet operacijama.
Sigurnosni timovi moraju ostati budni, dajući prioritet zakrpama poznatih ranjivosti, praćenju sumnjivih mrežnih aktivnosti i primjeni proaktivnih alata za otkrivanje kako bi ublažili rizik koji predstavljaju ove brzo razvijajuće prijetnje.
