RondoDox botneta
Ļaunprogrammatūras kampaņas, kas izmanto RondoDox botnetu, ir ievērojami paplašinājušas savu uzbrukumu virsmu, tagad mērķējot uz vairāk nekā 50 ievainojamībām vairāk nekā 30 piegādātāju vidū. Drošības eksperti šo pieeju raksturo kā "ekspluatācijas bise", kas atspoguļo neselektīvu uzbrukumu plašam internetam pakļautas infrastruktūras klāstam. Skartās sistēmas ietver maršrutētājus, digitālos video ierakstītājus (DVR), tīkla video ierakstītājus (NVR), videonovērošanas sistēmas, tīmekļa serverus un daudzas citas tīklam pieslēgtas ierīces.
Satura rādītājs
Agrīnie iebrukumi un vēsturiskais konteksts
Pirmā ievērojamā RondoDox aktivitāte tika novērota 2025. gada jūlijā, kad pētnieki dokumentēja uzbrukumus TBK DVR un Four-Faith maršrutētājiem. Šīs ierīces tika iekļautas botnetā, kas paredzēts izkliedētu pakalpojuma atteikuma (DDoS) uzbrukumu veikšanai, izmantojot HTTP, UDP un TCP protokolus.
2025. gada 15. jūnijā tika atklāts konkrēts ielaušanās mēģinājums, kas bija vērsts pret TP-Link Archer maršrutētājiem, izmantojot CVE-2023-1389 — trūkumu, kas atkārtoti izmantots kopš tā atklāšanas 2022. gada beigās. Šie incidenti izceļ RondoDox pastāvīgo attīstību no oportūnistiskiem uzbrukumiem vienai ierīcei līdz plašākām, koordinētākām kampaņām.
Paplašināta izplatīšana, izmantojot iekrāvēju kā pakalpojumu
RondoDox nesen ir ieviesis ielādētāja kā pakalpojuma (LaaS) modeli, iesaiņojot savu lietderīgo slodzi kopā ar Mirai un Morte ļaunprogrammatūrām. Šī taktika ļauj uzbrucējiem vienlaikus izplatīt vairākus draudus, sarežģot atklāšanas un novēršanas centienus.
Šīs paplašinātās kampaņas galvenās iezīmes ir šādas:
- Vāju akreditācijas datu, neattīrītu ievades datu un mantotu CVE izmantošana ierīču kompromitēšanai
- Orientēšanās uz SOHO maršrutētājiem, lietu interneta ierīcēm un uzņēmumu lietojumprogrammām
- Daudzvektoru ekspluatācija, kas signalizē par pāreju no vienas ierīces oportūnisma uz koordinētu botnetu izvietošanu
Plaši izmantoto arsenālu
RondoDox pašlaik izmanto gandrīz 56 ievainojamības, no kurām 18 joprojām nav CVE identifikatoru. Izmantotās sistēmas aptver plašu piegādātāju klāstu, tostarp:
D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQrouter, Ricon, Nexxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH, Zyxel, Hytec Inter, Belkin, Billion un Cisco.
Šis augošais arsenāls demonstrē botneta pieaugošo izsmalcinātību un spēju izmantot gan labi zināmas, gan iepriekš nedokumentētas ievainojamības.
Ietekme uz kiberdrošību
Jaunākās RondoDox kampaņas atspoguļo ievērojamu automatizētas tīkla izmantošanas evolūciju. Apvienojot ielādētāja kā pakalpojuma darbības ar paplašinātu ekspluatācijas kopu, uzbrucēji virzās no oportūnistiskiem uzbrukumiem atsevišķām ierīcēm uz stratēģiskām, daudzvektoru botnetu operācijām.
Drošības komandām ir jāpaliek modrām, prioritāri novēršot zināmas ievainojamības, uzraugot aizdomīgas tīkla aktivitātes un ieviešot proaktīvus noteikšanas rīkus, lai mazinātu risku, ko rada šie strauji mainīgie apdraudējumi.
