RondoDox Botnet

RondoDox 봇넷을 활용하는 악성코드 캠페인은 공격 범위를 크게 확대하여 현재 30개 이상의 공급업체에 걸쳐 50개 이상의 취약점을 표적으로 삼고 있습니다. 보안 전문가들은 이러한 접근 방식을 '익스플로잇 샷건(exploit shotgun)'이라고 부르는데, 이는 인터넷에 노출된 광범위한 인프라를 무차별적으로 공격하는 것을 의미합니다. 영향을 받는 시스템에는 라우터, 디지털 비디오 레코더(DVR), 네트워크 비디오 레코더(NVR), CCTV 시스템, 웹 서버 및 기타 여러 네트워크 연결 장치가 포함됩니다.

초기 침입과 역사적 맥락

RondoDox의 첫 번째 주목할 만한 활동은 2025년 7월에 발견되었는데, 당시 연구원들은 TBK DVR과 Four-Faith 라우터에 대한 공격을 기록했습니다. 이 장치들은 HTTP, UDP, TCP 프로토콜을 통해 분산 서비스 거부(DDoS) 공격을 수행하도록 설계된 봇넷에 편입되었습니다.

2025년 6월 15일, CVE-2023-1389 취약점을 통해 TP-Link Archer 라우터를 표적으로 삼는 특정 침입 시도가 감지되었습니다. 이 취약점은 2022년 말 공개 이후 반복적으로 악용되었습니다. 이러한 사건들은 RondoDox가 기회주의적인 단일 기기 공격에서 더 광범위하고 조직화된 공격으로 끊임없이 진화하고 있음을 보여줍니다.

Loader-as-a-Service를 통한 확장된 유통

RondoDox는 최근 서비스형 로더(LaaS) 모델을 채택하여 Mirai 및 Morte 악성코드와 함께 페이로드를 패키징했습니다. 이러한 전략을 통해 공격자는 여러 위협을 동시에 유포할 수 있으며, 이는 탐지 및 해결 작업을 더욱 복잡하게 만듭니다.

이 확장된 캠페인의 주요 특징은 다음과 같습니다.

• 취약한 자격 증명, 정리되지 않은 입력 및 레거시 CVE를 사용하여 장치를 손상시킵니다.
• SOHO 라우터, IoT 기기 및 엔터프라이즈 애플리케이션을 타겟팅
• 다중 벡터 악용은 단일 장치 기회주의에서 조정된 봇넷 배포로의 전환을 나타냅니다.

광범위한 공격 무기고

RondoDox는 현재 약 56개의 취약점을 사용하고 있으며, 그중 18개는 CVE 식별자가 없는 상태입니다. 악용된 시스템은 다음을 포함한 다양한 공급업체에서 사용되고 있습니다.

D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQrouter, Ricon, Nexxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH, Zyxel, Hytec Inter, Belkin, Billion, Cisco.

이렇게 무기고가 확대된다는 것은 봇넷이 점점 더 정교해지고 잘 알려진 취약점과 이전에 문서화되지 않은 취약점을 모두 악용할 수 있는 능력이 있다는 것을 보여줍니다.

사이버 보안에 대한 의미

최신 RondoDox 캠페인은 자동화된 네트워크 공격에 있어 상당한 발전을 보여줍니다. 로더-아-서비스(LOaaS) 운영과 확장된 익스플로잇 세트를 결합함으로써, 공격자들은 단일 기기에 대한 기회주의적 공격을 넘어 전략적 다중 벡터 봇넷 공격으로 전환하고 있습니다.

보안팀은 경계를 늦추지 말고, 알려진 취약점에 대한 패치를 우선시하고, 의심스러운 네트워크 활동을 모니터링하며, 사전 감지 도구를 배포하여 빠르게 진화하는 위협으로 인한 위험을 완화해야 합니다.