„RondoDox“ botnetas
Kenkėjiškų programų kampanijos, pasitelkdamos „RondoDox“ botnetą, smarkiai išplėtė savo atakų paviršių ir dabar taikosi į daugiau nei 50 pažeidžiamumų daugiau nei 30 tiekėjų įmonėse. Saugumo ekspertai šį metodą apibūdina kaip „išnaudojimo šautuvą“, atspindintį beatodairišką taikymąsi į įvairią interneto pažeidžiamą infrastruktūrą. Paveiktos sistemos apima maršrutizatorius, skaitmeninius vaizdo įrašymo įrenginius (DVR), tinklo vaizdo įrašymo įrenginius (NVR), vaizdo stebėjimo sistemas, žiniatinklio serverius ir daugybę kitų prie tinklo prijungtų įrenginių.
Turinys
Ankstyvieji įsiveržimai ir istorinis kontekstas
Pirmasis pastebimas „RondoDox“ aktyvumas buvo pastebėtas 2025 m. liepą, kai tyrėjai užfiksavo atakas prieš TBK skaitmeninius vaizdo įrašymo įrenginius ir „Four-Faith“ maršrutizatorius. Šie įrenginiai buvo įtraukiami į botnetą, skirtą vykdyti paskirstytas paslaugų teikimo trikdymo (DDoS) atakas per HTTP, UDP ir TCP protokolus.
2025 m. birželio 15 d. buvo aptiktas konkretus įsilaužimo bandymas, kurio taikinys buvo TP-Link Archer maršrutizatoriai per CVE-2023-1389 spragą – spragą, kuri buvo ne kartą išnaudota nuo jos atskleidimo 2022 m. pabaigoje. Šie incidentai pabrėžia nuolatinę „RondoDox“ evoliuciją nuo oportunistinių atakų prieš vieną įrenginį iki platesnių, labiau koordinuotų kampanijų.
Išplėstas platinimas naudojant „Loader-as-a-Service“
„RondoDox“ neseniai pritaikė įkėlimo kaip paslaugos (angl. loader-as-a-service, LaaS) modelį, savo naudingąją informaciją pakuodamas kartu su „Mirai“ ir „Morte“ kenkėjiškomis programomis. Ši taktika leidžia užpuolikams vienu metu platinti kelias grėsmes, o tai apsunkina aptikimo ir taisymo pastangas.
Pagrindinės šios išplėstinės kampanijos savybės:
- Silpnų prisijungimo duomenų, nevalytų įvesties duomenų ir senesnių CVE naudojimas įrenginiams pažeisti
- Orientacija į SOHO maršrutizatorius, daiktų interneto įrenginius ir įmonių programas
- Daugiavektorinis išnaudojimas, signalizuojantis apie perėjimą nuo vieno įrenginio oportunizmo prie koordinuoto botnetų diegimo
Platus išnaudojimo arsenalas
„RondoDox“ šiuo metu naudoja beveik 56 pažeidžiamumus, iš kurių 18 lieka be CVE identifikatorių. Išnaudotos sistemos apima platų tiekėjų ratą, įskaitant:
„D-Link“, TVT, LILIN, „Fiberhome“, „Linksys“, „BYTEVALUE“, ASMAX, „Brickcom“, „IQrouter“, „Ricon“, „Nexxt“, „NETGEAR“, „Apache“, TBK, „TOTOLINK“, „Meteobridge“, „Digiever“, „Edimax“, „QNAP“, GNU, „Dasan“, „Tenda“, „LB-LINK“, AVTECH, „Zyxel“, „Hytec Inter“, „Belkin“, „Billion“ ir „Cisco“.
Šis augantis arsenalas rodo didėjantį botneto rafinuotumą ir gebėjimą išnaudoti tiek gerai žinomas, tiek anksčiau nedokumentuotas pažeidžiamumus.
Poveikis kibernetiniam saugumui
Naujausios „RondoDox“ kampanijos žymi reikšmingą automatizuoto tinklo išnaudojimo evoliuciją. Derindami „loader-as-a-service“ operacijas su išplėstu išnaudojimo rinkiniu, užpuolikai pereina nuo oportunistinių atakų prieš pavienius įrenginius prie strateginių, daugiavektorinių botnetų operacijų.
Saugumo komandos turi išlikti budrios, teikdamos pirmenybę žinomų pažeidžiamumų taisymui, įtartinos tinklo veiklos stebėjimui ir diegdamos aktyvias aptikimo priemones, kad sumažintų šių sparčiai besivystančių grėsmių keliamą riziką.
