RondoDox botnetu lietu interneta uzbrukuma kampaņa
Kiberdrošības analītiķi ir atklājuši aptuveni deviņus mēnešus ilgušu ļoti noturīgu kampaņu, kuras mērķis ir bijusi lietu interneta (IoT) ierīces un tīmekļa lietojumprogrammas. Šīs operācijas mērķis bija iesaistīt neaizsargātas sistēmas botnetā ar nosaukumu RondoDox, demonstrējot gan uzbrucēju pacietību, gan operatīvo briedumu.
Satura rādītājs
React2Shell: kritiskais ieejas punkts
Sākot ar 2025. gada decembri, pētnieki novēroja kampaņu, kas izmanto React2Shell (CVE-2025-55182) kā galveno sākotnējās piekļuves mehānismu. Šī kritiskā ievainojamība ar CVSS vērtējumu 10,0 ietekmē React Server komponentu (RSC) un Next.js implementācijas. Ja tā netiek atjaunināta, tā ļauj izpildīt attālo koda izpildi neautentificēti, faktiski piešķirot uzbrucējiem pilnīgu kontroli pār neaizsargātām sistēmām.
Iedarbība mērogā: globāla ietekme
Līdz 2025. gada decembra beigām apkopotie telemetrijas dati liecina, ka visā pasaulē joprojām ir aptuveni 90 300 neaizsargātu gadījumu. Lielākā daļa no tiem atrodas Amerikas Savienotajās Valstīs, veidojot aptuveni 68 400 sistēmas. Citi būtiski skartie reģioni ir Vācija ar aptuveni 4300 gadījumiem, Francija ar 2800 un Indija ar 1500, kas uzsver problēmas globālo mērogu.
RondoDox attīsta savu ekspluatācijas arsenālu
RondoDox, kas pirmo reizi tika identificēts 2025. gada sākumā, ir pakāpeniski paplašinājis savas iespējas, iekļaujot savā ekspluatācijas rīku komplektā papildu N dienu ievainojamības. To skaitā ir CVE-2023-1389 un CVE-2025-24893. Iepriekšējos ziņojumos jau tika brīdināts par botneta React2Shell izmantošanu, uzsverot tendenci strauji izmantot jaunatklātus trūkumus kā ieročus.
Trīs eskalācijas fāzes
Pirms CVE-2025-55182 izmantošanas par ieroča izmantošanu, RondoDox kampaņa noritēja strukturētā eskalācijas ciklā:
2025. gada marts–aprīlis : mērķtiecīga izlūkošana apvienojumā ar manuālu ievainojamību atklāšanu un testēšanu.
2025. gada aprīlis–jūnijs : ikdienas, plaša mēroga izplatītu tīmekļa platformu, piemēram, WordPress, Drupal un Struts2, kā arī lietu interneta aparatūras, tostarp Wavlink maršrutētāju, pārbaude.
2025. gada jūlijs–decembra sākums : pilnībā automatizēta, ikstundas izvietošana, kas paredzēta maksimālai sasniedzamībai un noturībai.
Decembra uzbrukumi: lietderīgā slodze un neatlaidība
2025. gada decembrī novērotās aktivitātes laikā apdraudējumu izpildītāji skenēja atklātus Next.js serverus un mēģināja izvietot vairākus ļaunprātīgus komponentus. To vidū bija kriptovalūtas ieguves programmas, botnetu ielādētājs un veselības pārbaudes utilīta, kā arī uz Mirai balstīts botneta variants, kas pielāgots x86 sistēmām.
Galvenā komponente “/nuts/bolts” pilda uzbrucēju aizsardzības lomu. Tā sistemātiski pārtrauc konkurējošo ļaunprogrammatūru un monētu ieguves rīku darbību, pirms izgūst primāro botu bināro failu no savas vadības un kontroles (C2) infrastruktūras. Viens identificēts variants agresīvi attīra inficētos resursdatorus, noņemot konkurējošo botnetu pēdas, Docker balstītus vērtumus, iepriekšējo kampaņu paliekas un saistītos cron uzdevumus, vienlaikus nodrošinot noturību, modificējot /etc/crontab.
Ļaunprogrammatūra vēl vairāk pastiprina ekskluzivitāti, nepārtraukti skenējot /proc failu sistēmu, lai identificētu aktīvus izpildāmos failus un aptuveni ik pēc 45 sekundēm pārtraucot visus procesus, kas nav iekļauti baltajā sarakstā. Šī darbība efektīvi bloķē citu apdraudējumu dalībnieku atkārtotas inficēšanas mēģinājumus.
Riska samazināšana un iedarbības ierobežošana
Lai cīnītos pret RondoDox radītajiem draudiem, drošības komandām jāpieņem daudzslāņu aizsardzības stratēģija:
- Nekavējoties jauniniet Next.js izvietojumus uz pilnībā ielāpotām versijām, kas novērš CVE-2025-55182.
- Izolējiet IoT ierīces īpašos VLAN, lai ierobežotu sānu kustību.
- Ieviest tīmekļa lietojumprogrammu ugunsmūrus (WAF) un nepārtraukti uzraudzīt anomālu procesu izpildi.
- Proaktīvi bloķējiet zināmo vadības un kontroles infrastruktūru, kas saistīta ar botnetu.
Kopā šie pasākumi ievērojami samazina kompromitēšanas iespējamību un palīdz ierobežot notiekošās botnetu darbības ietekmi.
