RondoDox botnet
A RondoDox botnetet kihasználó rosszindulatú kampányok drámaian megnövelték támadási felületüket, és most több mint 30 gyártónál több mint 50 sebezhetőséget céloznak meg. A biztonsági szakértők ezt a megközelítést „exploit shotgun”-ként írják le, amely az internetnek kitett infrastruktúrák széles skálájának válogatás nélküli célba vételét tükrözi. Az érintett rendszerek közé tartoznak az útválasztók, digitális videorögzítők (DVR), hálózati videorögzítők (NVR), CCTV-rendszerek, webszerverek és számos más hálózatra csatlakoztatott eszköz.
Tartalomjegyzék
Korai behatolások és történelmi kontextus
Az első említésre méltó RondoDox aktivitást 2025 júliusában figyelték meg, amikor a kutatók TBK DVR-ek és Four-Faith routerek elleni támadásokat dokumentáltak. Ezeket az eszközöket egy botnetbe sorozták be, amelyet elosztott szolgáltatásmegtagadási (DDoS) támadások végrehajtására terveztek HTTP, UDP és TCP protokollokon keresztül.
2025. június 15-én egy konkrét behatolási kísérletet észleltek, amely a TP-Link Archer routereket célozta meg a CVE-2023-1389 hiba révén, amelyet a 2022 végi nyilvánosságra hozatala óta többször is kihasználtak. Ezek az incidensek rávilágítanak a RondoDox folyamatos fejlődésére az alkalmi, egyetlen eszköz elleni támadásoktól a szélesebb körű, összehangoltabb kampányok felé.
Kibővített disztribúció a Loader-as-a-Service szolgáltatáson keresztül
A RondoDox a közelmúltban bevezette a szolgáltatásként betöltő (LaaS) modellt, és a hasznos adatait a Mirai és Morte rosszindulatú programokkal együtt csomagolja. Ez a taktika lehetővé teszi a támadók számára, hogy több fenyegetést egyszerre terjesszenek, ami bonyolítja az észlelési és elhárítási erőfeszítéseket.
A kibővített kampány főbb jellemzői a következők:
- Gyenge hitelesítő adatok, nem ellenőrzött bemenetek és régi CVE-k használata eszközök feltörésére
- SOHO routerek, IoT eszközök és vállalati alkalmazások célzása
- Többvektoros kizsákmányolás, amely az egyetlen eszközzel való opportunizmusról az összehangolt botnettelepítésre való áttérést jelzi
Széleskörű kihasználási arzenál
A RondoDox jelenleg közel 56 sebezhetőséget használ, amelyek közül 18 továbbra sem tartalmaz CVE-azonosítót. A kihasznált rendszerek számos gyártót felölelnek, beleértve:
D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQrouter, Ricon, Nexxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH, Zyxel, Hytec Inter, Belkin, Billion és Cisco.
Ez a növekvő arzenál jól mutatja a botnet növekvő kifinomultságát és azt a képességét, hogy mind a jól ismert, mind a korábban nem dokumentált sebezhetőségeket kihasználja.
Kiberbiztonsági következmények
A legújabb RondoDox kampányok jelentős előrelépést jelentenek az automatizált hálózati sérülékenységek kihasználásában. A szolgáltatásként betöltő műveletek és a kibővített exploit készlet kombinálásával a támadók az egyes eszközök elleni opportunista támadásokon túl a stratégiai, többvektoros botnet-műveletek felé haladnak.
A biztonsági csapatoknak továbbra is ébernek kell lenniük, prioritásként kezelve az ismert sebezhetőségek javítását, a gyanús hálózati tevékenységek figyelését, és proaktív észlelő eszközök telepítését a gyorsan változó fenyegetések jelentette kockázatok enyhítése érdekében.
