Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Botnetek RondoDox Botnet IoT támadási kampány

RondoDox Botnet IoT támadási kampány

Mezo -ra Botnetek-ben
Fordítás ide:

Kiberbiztonsági elemzők egy körülbelül kilenc hónapig tartó, rendkívül kitartó kampányt lepleztek le, amely aktívan a dolgok internetéhez (IoT) tartozó eszközöket és webes alkalmazásokat célozta meg. A művelet célja a sebezhető rendszerek RondoDox nevű botnetbe való besorozása volt, ami a támadók türelmét és operatív érettségét is bizonyítja.

React2Shell: A kritikus belépési pont

2025 decemberében a kutatók megfigyelték, hogy a kampány a React2Shell (CVE-2025-55182) sebezhetőséget használja ki elsődleges kezdeti hozzáférési mechanizmusként. Ez a kritikus, 10.0-s CVSS-pontszámmal rendelkező sebezhetőség a React Server Components (RSC) és a Next.js implementációit érinti. Javítás nélkül lehetővé teszi a nem hitelesített távoli kódfuttatást, így a támadók teljes kontrollt kapnak a kitett rendszerek felett.

Léptékes expozíció: Globális hatás

A 2025 decemberének végéig gyűjtött telemetriai adatok azt mutatják, hogy világszerte nagyjából 90 300 sebezhető eset van továbbra is kitéve a vírusnak. Ezek többsége az Egyesült Államokban található, körülbelül 68 400 rendszert képviselve. További jelentősen érintett régiók közé tartozik Németország mintegy 4300 esettel, Franciaország 2800-zal és India 1500-zal, ami kiemeli a probléma globális kiterjedését.

A RondoDox fejleszti exploit arzenálját

A 2025 elején azonosított RondoDox folyamatosan bővítette képességeit további N-napos sebezhetőségek beépítésével a kihasználási eszköztárába. Ezek közé tartozik a CVE-2023-1389 és a CVE-2025-24893. Korábbi jelentések már figyelmeztettek a botnet React2Shell használatára, kiemelve az újonnan felfedezett hibák gyors fegyverként való felhasználásának tendenciáját.

Az eszkaláció három fázisa

Mielőtt a CVE-2025-55182 hamisítványt fegyverré nyilvánították volna, a RondoDox kampány egy strukturált eszkalációs cikluson ment keresztül:

2025. március–április : Célzott felderítés, manuális sebezhetőség-felderítéssel és teszteléssel párosítva.

2025. április–június : Naponta, nagyszabású tesztelés olyan elterjedt webes platformokon, mint a WordPress, a Drupal és a Struts2, valamint IoT hardvereken, beleértve a Wavlink routereket is.

2025. július – december eleje : Teljesen automatizált, óránkénti telepítés a maximális elérés és tartósság érdekében.

Decemberi támadások: hasznos teher és kitartás

A 2025 decemberében megfigyelt tevékenység során a fenyegetésekért felelős szereplők feltört Next.js szervereket kerestek, és több rosszindulatú komponenst próbáltak meg telepíteni. Ezek között voltak kriptovaluta-bányászok, egy botnet betöltő és állapotellenőrző segédprogram, valamint egy Mirai-alapú, x86-os rendszerekhez igazított botnet variáns.

Egy kulcsfontosságú komponens, a „/nuts/bolts” védekező szerepet játszik a támadók számára. Szisztematikusan leállítja a versengő rosszindulatú programokat és érmebányászokat, mielőtt visszakeresné az elsődleges bot bináris fájlt a parancs- és vezérlő (C2) infrastruktúrájából. Az egyik azonosított variáns agresszívan megtisztítja a fertőzött gazdagépeket a rivális botnetek, a Docker-alapú hasznos adatok, a korábbi kampányok maradványai és a kapcsolódó cron feladatok eltávolításával, miközben egyidejűleg a /etc/crontab módosításain keresztül tartós védelmet biztosít.

A kártevő tovább erősíti az exkluzivitást azáltal, hogy folyamatosan vizsgálja a /proc fájlrendszert az aktív végrehajtható fájlok azonosítása érdekében, és nagyjából 45 másodpercenként leállítja a nem fehérlistás folyamatokat. Ez a viselkedés hatékonyan blokkolja a többi fenyegető szereplő újrafertőzési kísérleteit.

Kockázatcsökkentés és kitettség korlátozása

A RondoDox jelentette fenyegetés ellensúlyozására a biztonsági csapatoknak rétegzett védekezési stratégiát kell alkalmazniuk:

  • A Next.js telepítéseket haladéktalanul frissítse a CVE-2025-55182 hiba javítását tartalmazó, teljesen frissített verziókra.
  • Az IoT-eszközök elkülönítése dedikált VLAN-okon belül az oldalirányú mozgás korlátozása érdekében.
  • Implementáljon webalkalmazás-tűzfalakat (WAF-okat), és folyamatosan figyelje a rendellenes folyamatok végrehajtását.
  • Proaktívan blokkolja a botnethez kapcsolódó ismert parancsnoki és vezérlő infrastruktúrát.

Összességében ezek az intézkedések jelentősen csökkentik a behatolás valószínűségét, és segítenek megfékezni a folyamatban lévő botnet-tevékenység hatását.

Felkapott

Fontos figyelmeztetés a Microsoft-fiókoddal...

Adathalászat, Spam
A váratlan, sürgős figyelmet igénylő e-mailek a kiberbűnözők kedvenc fegyverei. Nem lehet eléggé hangsúlyozni, mennyire fontos ébernek maradni a váratlan üzenetek esetén, különösen azoknál, amelyek fiókproblémákra vagy újonnan közzétett dokumentumokra figyelmeztetnek. Az egyik ilyen online terjedő fenyegetés az „Invoices Are Being Release” e-mail átverés, egy megtévesztő kampány, amelynek célja...

Legnézettebb

Betöltés...