Botnet RondoDox
Kampanie złośliwego oprogramowania wykorzystujące botnet RondoDox drastycznie rozszerzyły swoją powierzchnię ataku, atakując obecnie ponad 50 luk w zabezpieczeniach u ponad 30 dostawców. Eksperci ds. bezpieczeństwa określają to podejście mianem „strzelby exploitów”, odzwierciedlając bezkrytyczne atakowanie szerokiej gamy infrastruktury narażonej na dostęp do internetu. Dotknięte systemy obejmują routery, cyfrowe rejestratory wideo (DVR), sieciowe rejestratory wideo (NVR), systemy monitoringu CCTV, serwery WWW i wiele innych urządzeń podłączonych do sieci.
Spis treści
Wczesne intruzje i kontekst historyczny
Pierwszą znaczącą aktywność RondoDox zaobserwowano w lipcu 2025 roku, kiedy badacze udokumentowali ataki na rejestratory DVR TBK i routery Four-Faith. Urządzenia te były włączane do botnetu zaprojektowanego do przeprowadzania ataków typu „rozproszona odmowa usługi” (DDoS) za pośrednictwem protokołów HTTP, UDP i TCP.
15 czerwca 2025 r. wykryto konkretną próbę włamania, wymierzoną w routery TP-Link Archer za pośrednictwem luki CVE-2023-1389, która była wielokrotnie wykorzystywana od momentu jej ujawnienia pod koniec 2022 r. Incydenty te podkreślają ciągłą ewolucję RondoDox od oportunistycznych ataków na pojedyncze urządzenia w kierunku szerszych, bardziej skoordynowanych kampanii.
Rozszerzona dystrybucja dzięki usłudze Loader-as-a-Service
RondoDox niedawno wdrożył model loadera jako usługi (LaaS), pakując swój ładunek wraz ze złośliwym oprogramowaniem Mirai i Morte. Ta taktyka pozwala atakującym na jednoczesną dystrybucję wielu zagrożeń, co komplikuje wykrywanie i usuwanie zagrożeń.
Do najważniejszych cech tej rozszerzonej kampanii należą:
- Wykorzystanie słabych danych uwierzytelniających, niesprawdzonych danych wejściowych i starszych kodów CVE w celu naruszenia bezpieczeństwa urządzeń
- Skierowanie do routerów SOHO, urządzeń IoT i aplikacji korporacyjnych
- Wielowektorowa eksploatacja sygnalizująca przejście od oportunizmu pojedynczego urządzenia do skoordynowanego wdrażania botnetów
Szeroki arsenał wyzysku
RondoDox wykorzystuje obecnie prawie 56 luk, z których 18 nadal nie posiada identyfikatorów CVE. Wykorzystywane systemy obejmują szeroką gamę dostawców, w tym:
D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQrouter, Ricon, Nexxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH, Zyxel, Hytec Inter, Belkin, Billion i Cisco.
Ten stale rosnący arsenał jest dowodem na coraz większą zaawansowanie botnetu i jego zdolność do wykorzystywania zarówno dobrze znanych, jak i dotychczas nieudokumentowanych luk w zabezpieczeniach.
Konsekwencje dla cyberbezpieczeństwa
Najnowsze kampanie RondoDox stanowią znaczącą ewolucję w dziedzinie zautomatyzowanej eksploatacji sieci. Łącząc operacje loadera jako usługi z rozszerzonym zestawem exploitów, atakujący wychodzą poza oportunistyczne ataki na pojedyncze urządzenia, w kierunku strategicznych, wielowektorowych operacji botnetów.
Zespoły ds. bezpieczeństwa muszą zachować czujność, priorytetowo traktując łatanie znanych luk w zabezpieczeniach, monitorując podejrzaną aktywność sieciową i wdrażając proaktywne narzędzia wykrywania w celu ograniczenia ryzyka, jakie stwarzają te szybko zmieniające się zagrożenia.
