Kempen Serangan IoT Botnet RondoDox
Penganalisis keselamatan siber telah menemui kempen yang sangat berterusan selama kira-kira sembilan bulan yang telah menyasarkan peranti dan aplikasi web Internet of Things (IoT) secara aktif. Objektif operasi ini adalah untuk mengerahkan sistem yang terdedah ke dalam botnet yang digelar RondoDox, menunjukkan kesabaran dan kematangan operasi di pihak penyerang.
Isi kandungan
React2Shell: Titik Kemasukan Kritikal
Sehingga Disember 2025, para penyelidik memerhatikan kempen yang mengeksploitasi React2Shell (CVE-2025-55182) sebagai mekanisme akses awal utamanya. Kerentanan kritikal ini, yang membawa skor CVSS 10.0, mempengaruhi pelaksanaan React Server Components (RSC) dan Next.js. Apabila dinyahtampal, ia membolehkan pelaksanaan kod jauh yang tidak disahkan, dengan berkesan memberikan penyerang kawalan penuh ke atas sistem yang terdedah.
Pendedahan pada Skala: Impak Global
Telemetri yang dikumpul sehingga akhir Disember 2025 menunjukkan bahawa kira-kira 90,300 kes terdedah masih terdedah di seluruh dunia. Kebanyakannya terletak di Amerika Syarikat, merangkumi kira-kira 68,400 sistem. Wilayah lain yang terjejas teruk termasuk Jerman dengan kira-kira 4,300 kes, Perancis dengan 2,800, dan India dengan 1,500, yang menggariskan jangkauan global isu ini.
RondoDox Mengembangkan Arsenal Eksploitasinya
Pertama kali dikenal pasti pada awal tahun 2025, RondoDox telah mengembangkan keupayaannya secara berterusan dengan memasukkan kerentanan N-hari tambahan ke dalam toolkit eksploitasinya. Ini termasuk CVE-2023-1389 dan CVE-2025-24893. Laporan sebelum ini telah memberi amaran tentang penggunaan React2Shell oleh botnet, yang menonjolkan trend penggunaan senjata pantas terhadap kelemahan yang baru didedahkan.
Tiga Fasa Eskalasi
Sebelum menjadikan CVE-2025-55182 sebagai senjata, kempen RondoDox telah melalui kitaran peningkatan berstruktur:
Mac–April 2025 : Peninjauan terfokus yang digandingkan dengan penemuan dan pengujian kerentanan manual.
April–Jun 2025 : Kajian harian berskala besar terhadap platform web biasa seperti WordPress, Drupal dan Struts2, di samping perkakasan IoT, termasuk penghala Wavlink.
Julai–awal Disember 2025 : Pelaksanaan automatik sepenuhnya setiap jam direka bentuk untuk jangkauan dan kegigihan maksimum.
Serangan Disember: Muatan dan Kegigihan
Semasa aktiviti yang diperhatikan pada Disember 2025, pelaku ancaman telah mengimbas pelayan Next.js yang terdedah dan cuba menggunakan pelbagai komponen berniat jahat. Ini termasuk pelombong mata wang kripto, pemuat botnet dan utiliti semakan kesihatan, serta varian botnet berasaskan Mirai yang disesuaikan untuk sistem x86.
Komponen utama, '/nuts/bolts', memainkan peranan pertahanan untuk penyerang. Ia secara sistematik menamatkan perisian hasad dan pelombong syiling yang bersaing sebelum mendapatkan semula binari bot utama daripada infrastruktur arahan dan kawalan (C2)nya. Satu varian yang dikenal pasti membersihkan hos yang dijangkiti secara agresif dengan membuang kesan botnet pesaing, muatan berasaskan Docker, sisa kempen terdahulu dan tugas cron yang berkaitan, sambil mewujudkan kegigihan melalui pengubahsuaian pada /etc/crontab.
Perisian hasad ini seterusnya menguatkuasakan eksklusiviti dengan mengimbas sistem fail /proc secara berterusan untuk mengenal pasti fail boleh laku aktif, menamatkan sebarang proses yang tidak disenarai putihkan kira-kira setiap 45 saat. Tingkah laku ini berkesan menyekat percubaan jangkitan semula oleh pelaku ancaman lain.
Mengurangkan Risiko dan Mengehadkan Pendedahan
Untuk mengatasi ancaman yang ditimbulkan oleh RondoDox, pasukan keselamatan harus menggunakan strategi pertahanan berlapis:
- Segera tingkatkan penggunaan Next.js kepada versi yang ditambal sepenuhnya yang menangani CVE-2025-55182.
- Asingkan peranti IoT dalam VLAN khusus untuk mengehadkan pergerakan sisi.
- Melaksanakan Tembok Api Aplikasi Web (WAF) dan sentiasa memantau pelaksanaan proses yang tidak normal.
- Sekat secara proaktif infrastruktur arahan dan kawalan yang diketahui berkaitan dengan botnet.
Secara keseluruhannya, langkah-langkah ini dapat mengurangkan kemungkinan pencerobohan dengan ketara dan membantu membendung kesan aktiviti botnet yang berterusan.
