다중 라이센스 할인 견적
위협 데이터베이스 봇넷 RondoDox 봇넷 IoT 공격 캠페인

RondoDox 봇넷 IoT 공격 캠페인

봇넷년에 Mezo 년까지
번역 :

사이버 보안 분석가들은 약 9개월 동안 지속된, 사물 인터넷(IoT) 기기와 웹 애플리케이션을 적극적으로 표적으로 삼은 매우 집요한 공격 캠페인을 발견했습니다. 이 작전의 목표는 취약한 시스템들을 '론도독스(RondoDox)'라는 봇넷에 편입시키는 것이었으며, 이는 공격자들이 얼마나 인내심을 갖고 고도의 운영 능력을 발휘했는지를 보여줍니다.

React2Shell: 핵심 진입점

2025년 12월 기준으로, 연구원들은 해당 공격 캠페인이 React2Shell(CVE-2025-55182) 취약점을 주요 초기 접근 메커니즘으로 사용하는 것을 확인했습니다. CVSS 점수 10.0의 심각한 취약점인 이 공격은 React Server Components(RSC) 및 Next.js 구현에 영향을 미칩니다. 패치가 적용되지 않은 경우, 인증 없이 원격 코드 실행이 가능해져 공격자가 노출된 시스템을 완전히 제어할 수 있게 됩니다.

대규모 노출: 글로벌 영향

2025년 12월 말까지 수집된 원격 측정 데이터에 따르면 전 세계적으로 약 90,300개의 취약한 인스턴스가 여전히 노출되어 있는 것으로 나타났습니다. 이 중 대다수는 미국에 있으며, 약 68,400개의 시스템이 여기에 해당합니다. 그 외에도 독일(약 4,300개), 프랑스(2,800개), 인도(1,500개) 등에서도 상당한 영향을 받고 있어 이 문제가 전 세계적으로 확산되고 있음을 보여줍니다.

RondoDox가 공격 수단을 진화시켰습니다

2025년 초에 처음 발견된 RondoDox는 N일 동안 노출되는 취약점을 공격 도구에 통합하여 꾸준히 기능을 확장해 왔습니다. 이러한 취약점에는 CVE-2023-1389 및 CVE-2025-24893이 포함됩니다. 이전 보고서에서는 이 봇넷이 React2Shell을 사용하는 것에 대해 이미 경고했으며, 이는 새롭게 공개된 취약점을 빠르게 무기화하는 추세를 보여줍니다.

긴장 고조의 세 단계

RondoDox 캠페인은 CVE-2025-55182를 무기화하기 전에 구조화된 단계적 확대 과정을 거쳤습니다.

2025년 3월~4월 : 집중적인 정찰 활동과 수동 취약점 발견 및 테스트를 병행합니다.

2025년 4월~6월 : WordPress, Drupal, Struts2와 같은 일반적인 웹 플랫폼과 Wavlink 라우터를 포함한 IoT 하드웨어에 대한 대규모 조사를 매일 실시합니다.

2025년 7월~12월 초 : 최대 도달 범위와 지속성을 위해 설계된 완전 자동화된 시간 단위 배포 시스템.

12월 공격: 페이로드 및 지속성

2025년 12월에 관찰된 활동 동안, 위협 행위자들은 노출된 Next.js 서버를 스캔하고 여러 악성 구성 요소를 배포하려고 시도했습니다. 이러한 구성 요소에는 암호화폐 채굴 프로그램, 봇넷 로더 및 상태 점검 유틸리티, 그리고 x86 시스템에 최적화된 Mirai 기반 봇넷 변종이 포함되었습니다.

핵심 구성 요소인 '/nuts/bolts'는 공격자에게 방어적인 역할을 합니다. 이 구성 요소는 경쟁 악성코드와 코인 마이너를 체계적으로 종료한 후 명령 및 제어(C2) 인프라에서 기본 봇 바이너리를 가져옵니다. 확인된 한 변종은 경쟁 봇넷, Docker 기반 페이로드, 이전 캠페인의 잔여물, 관련 cron 작업 등의 흔적을 제거하여 감염된 호스트를 적극적으로 정리하는 동시에 /etc/crontab 파일을 수정하여 지속성을 확보합니다.

이 악성 프로그램은 /proc 파일 시스템을 지속적으로 스캔하여 실행 중인 실행 파일을 식별하고, 화이트리스트에 없는 프로세스를 약 45초마다 종료함으로써 독점성을 더욱 강화합니다. 이러한 동작은 다른 위협 행위자의 재감염 시도를 효과적으로 차단합니다.

위험 감소 및 노출 제한

RondoDox가 제기하는 위협에 대응하기 위해 보안팀은 다층적인 방어 전략을 채택해야 합니다.

  • Next.js 배포 환경을 CVE-2025-55182 취약점을 해결하는 패치가 완료된 버전으로 즉시 업그레이드하십시오.
  • IoT 장치를 전용 VLAN 내에 격리하여 장치 간 이동을 제한하십시오.
  • 웹 애플리케이션 방화벽(WAF)을 구현하고 비정상적인 프로세스 실행을 지속적으로 모니터링하십시오.
  • 봇넷과 연관된 것으로 알려진 명령 및 제어 인프라를 사전에 차단하십시오.

이러한 조치들을 종합적으로 고려하면 침해 가능성을 크게 줄이고 진행 중인 봇넷 활동의 영향을 억제하는 데 도움이 됩니다.

트렌드

Myrmecophaga Tridactyla

잠재적으로 원하지 않는 프로그램
최근 Myrmecophaga Tridactyla라는 브라우저 확장 프로그램과 PUP(잠재적으로 원하지 않는 프로그램)가 인터넷 사용자들 사이에서 우려의 원인으로 나타났습니다. 브라우저 확장 프로그램이라고도 불리는 Myrmecophaga Tridactyla는 설치 시 웹 브라우저의 보안과 성능을 크게 손상시킬 수 있는 잠재적으로 유해한 소프트웨어입니다....

VOOI 에어드롭 사기

불량 웹사이트
웹 서핑 시 특히 돈과 디지털 자산과 관련된 영역에서는 주의를 기울이는 것이 그 어느 때보다 중요합니다. 사이버 범죄자들은 사용자를 속이기 위해 정교한 사칭, 세련된 웹사이트, 그리고 놓치기 아까운 긴급 제안을 점점 더 많이 이용하고 있습니다. 최근 발견된 가짜 Rarible 스타일 암호화폐 웹사이트를 이용한 사기 사건은 의심하지 않는 방문자들이...

마이크로소프트 계정 이메일 사기 관련 중요 알림

피싱, 스팸
갑작스럽게 발송되어 긴급한 주의를 요구하는 이메일은 사이버 범죄자들이 즐겨 사용하는 수법입니다. 특히 계정 문제나 새로운 문서 공개를 경고하는 등 예기치 않게 도착하는 메시지에 대해서는 더욱 경계해야 합니다. 온라인에서 유포되고 있는 위협 중 하나는 '청구서가 공개됩니다'라는 이메일 사기입니다. 이는 신뢰를 악용하여 개인 정보를 탈취하려는 기만적인 수법입니다. 이러한 이메일은 발신자가 주장하는 바와 달리 어떠한 합법적인 회사, 기관 또는 단체와도 관련이 없습니다. '청구서가 발송되었습니다'라는 이메일 사기란 무엇인가요? '청구서가 발송되었습니다' 사기는 가짜 알림과 허위 계정 문제를 이용한 피싱 공격의 일환입니다. 이러한 이메일은 일반적으로 중요한 청구서나...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
46,853
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
35,421
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

Discord가 회색 화면에 멈춤

문제
34,877
때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...
로드 중...