„RondoDox“ botneto daiktų interneto atakų kampanija
Kibernetinio saugumo analitikai atskleidė labai atkaklią, maždaug devynis mėnesius trukusią kampaniją, kurios metu aktyviai buvo atakuojami daiktų interneto (IoT) įrenginiai ir žiniatinklio programos. Šios operacijos tikslas buvo įtraukti pažeidžiamas sistemas į botnetą, pavadintą „RondoDox“, parodant užpuolikų kantrybę ir operacinį brandumą.
Turinys
„React2Shell“: kritinis įėjimo taškas
2025 m. gruodžio mėn. tyrėjai pastebėjo, kad kampanija išnaudojo „React2Shell“ (CVE-2025-55182) kaip pagrindinį pradinės prieigos mechanizmą. Šis kritinis pažeidžiamumas, kurio CVSS balas yra 10,0, paveikia „React Server Components“ (RSC) ir „Next.js“ diegimus. Pašalinus pataisą, jis leidžia nuotoliniu būdu vykdyti neautentifikuotą kodą, faktiškai suteikdamas užpuolikams visišką pažeidžiamų sistemų kontrolę.
Poveikis mastu: pasaulinis poveikis
Iki 2025 m. gruodžio pabaigos surinkti telemetrijos duomenys rodo, kad visame pasaulyje tebėra maždaug 90 300 pažeidžiamų atvejų. Dauguma jų yra Jungtinėse Valstijose ir sudaro apie 68 400 sistemų. Kiti reikšmingai paveikti regionai yra Vokietija (apie 4 300 atvejų), Prancūzija (2 800) ir Indija (1 500), o tai pabrėžia pasaulinį problemos mastą.
„RondoDox“ tobulina savo išnaudojimo arsenalą
Pirmą kartą identifikuota 2025 m. pradžioje, „RondoDox“ nuolat plėtė savo galimybes, į savo išnaudojimo įrankių rinkinį įtraukdama papildomus N dienų pažeidžiamumus. Tarp jų yra CVE-2023-1389 ir CVE-2025-24893. Ankstesnėse ataskaitose jau buvo įspėta apie botneto naudojamą „React2Shell“, pabrėžiant tendenciją, kad naujai atskleistos spragos sparčiai paverčiamos ginklu.
Trys eskalacijos etapai
Prieš paverčiant CVE-2025-55182 ginklu, „RondoDox“ kampanija vyko pagal struktūrizuotą eskalavimo ciklą:
2025 m. kovas–balandis : kryptinga žvalgyba kartu su rankiniu pažeidžiamumų nustatymu ir testavimu.
2025 m. balandis–birželis : Kasdienis, didelio masto įprastų žiniatinklio platformų, tokių kaip „WordPress“, „Drupal“ ir „Struts2“, bei daiktų interneto įrangos, įskaitant „Wavlink“ maršrutizatorius, zondavimas.
2025 m. liepa–gruodžio pradžia : Visiškai automatizuotas, valandinis diegimas, skirtas maksimaliam pasiekiamumui ir patikimumui.
Gruodžio mėnesio atakos: naudingoji apkrova ir atkaklumas
2025 m. gruodžio mėn. stebėtos veiklos metu grėsmių kūrėjai ieškojo pažeidžiamų „Next.js“ serverių ir bandė diegti kelis kenkėjiškus komponentus. Tarp jų buvo kriptovaliutų kasimo programos, botneto įkėlimo ir būklės patikros programa bei „Mirai“ pagrindu sukurta botneto variantas, pritaikytas x86 sistemoms.
Svarbus komponentas „/nuts/bolts“ atlieka gynybinį vaidmenį užpuolikams. Jis sistemingai sunaikina konkuruojančias kenkėjiškas programas ir monetų kasimo programas prieš nuskaitydamas pagrindinį botų dvejetainį failą iš savo komandų ir valdymo (C2) infrastruktūros. Vienas nustatytas variantas agresyviai valo užkrėstus kompiuterius, pašalindamas konkuruojančių botnetų pėdsakus, „Docker“ pagrindu veikiančius naudinguosius krovinius, ankstesnių kampanijų likučius ir susijusias cron užduotis, tuo pačiu metu užtikrindamas nuolatinį pažeidžiamumą modifikuodamas /etc/crontab.
Kenkėjiška programa dar labiau sustiprina išskirtinumą nuolat skenuodama /proc failų sistemą, kad nustatytų aktyvius vykdomuosius failus ir maždaug kas 45 sekundes nutrauktų visus procesus, kurie nėra įtraukti į baltąjį sąrašą. Toks elgesys efektyviai blokuoja kitų grėsmių subjektų bandymus pakartotinai užkrėsti virusą.
Rizikos mažinimas ir poveikio ribojimas
Siekdamos kovoti su „RondoDox“ keliama grėsme, saugumo komandos turėtų priimti daugiasluoksnę gynybos strategiją:
- Nedelsiant atnaujinkite „Next.js“ diegimus į pilnai pataisytas versijas, kuriose pašalinamas CVE-2025-55182.
- Izoliuokite daiktų interneto įrenginius tam skirtuose VLAN, kad apribotumėte šoninį judėjimą.
- Įdiegti žiniatinklio programų užkardas (WAF) ir nuolat stebėti, ar nėra anomalių procesų vykdymo.
- Iniciatyviai blokuokite žinomą su botnetu susijusią komandų ir kontrolės infrastruktūrą.
Visos šios priemonės gerokai sumažina įsilaužimo tikimybę ir padeda suvaldyti nuolatinės botnetų veiklos poveikį.
