Kampania atakująca botnet IoT RondoDox
Analitycy ds. cyberbezpieczeństwa odkryli niezwykle uporczywą kampanię trwającą około dziewięciu miesięcy, która aktywnie atakowała urządzenia Internetu Rzeczy (IoT) i aplikacje internetowe. Celem tej operacji było włączenie podatnych systemów do botnetu o nazwie RondoDox, co świadczy o cierpliwości i dojrzałości operacyjnej atakujących.
Spis treści
React2Shell: krytyczny punkt wejścia
W grudniu 2025 roku badacze zaobserwowali kampanię wykorzystującą lukę w zabezpieczeniach React2Shell (CVE-2025-55182) jako główny mechanizm dostępu początkowego. Ta krytyczna luka, z wynikiem CVSS równym 10,0, dotyczy implementacji React Server Components (RSC) i Next.js. Po usunięciu poprawki umożliwia ona zdalne wykonywanie kodu bez uwierzytelnienia, dając atakującym pełną kontrolę nad narażonymi systemami.
Ekspozycja na dużą skalę: globalny wpływ
Dane telemetryczne zebrane do końca grudnia 2025 roku wskazują, że na całym świecie nadal istnieje około 90 300 podatnych na atak przypadków. Większość z nich znajduje się w Stanach Zjednoczonych, co stanowi około 68 400 systemów. Inne regiony, które zostały znacząco dotknięte, to Niemcy (około 4300 przypadków), Francja (2800) i Indie (1500), co podkreśla globalny zasięg problemu.
RondoDox rozwija swój arsenał Exploit
Zidentyfikowany po raz pierwszy na początku 2025 roku, RondoDox systematycznie rozszerzał swoje możliwości, dodając do swojego zestawu narzędzi kolejne luki N-day. Należą do nich CVE-2023-1389 i CVE-2025-24893. Wcześniejsze raporty ostrzegały już przed wykorzystaniem przez botnet React2Shell, co wskazywało na tendencję do szybkiego wykorzystywania nowo ujawnionych luk w zabezpieczeniach.
Trzy fazy eskalacji
Zanim atak CVE-2025-55182 stał się bronią, kampania RondoDox przechodziła przez ustrukturyzowany cykl eskalacji:
Marzec–kwiecień 2025 r .: Skoncentrowane rozpoznanie połączone z ręcznym wykrywaniem luk w zabezpieczeniach i testowaniem.
Kwiecień–czerwiec 2025 r .: codzienne, zakrojone na szeroką skalę badania popularnych platform internetowych, takich jak WordPress, Drupal i Struts2, a także sprzętu IoT, w tym routerów Wavlink.
Lipiec–początek grudnia 2025 r .: W pełni zautomatyzowane, godzinowe wdrażanie mające na celu zmaksymalizowanie zasięgu i trwałości.
Ataki grudniowe: ładunki i trwałość
Podczas aktywności zaobserwowanej w grudniu 2025 roku, cyberprzestępcy skanowali narażone serwery Next.js i próbowali wdrożyć wiele złośliwych komponentów. Należały do nich koparki kryptowalut, program ładujący botnety i narzędzie do sprawdzania ich stanu oraz wariant botnetu oparty na Mirai, dostosowany do systemów x86.
Kluczowy komponent „/nuts/bolts” odgrywa rolę obronną dla atakujących. Systematycznie eliminuje on konkurencyjne złośliwe oprogramowanie i programy do kopania kryptowalut, a następnie pobiera główny plik binarny bota z infrastruktury poleceń i kontroli (C2). Jeden ze zidentyfikowanych wariantów agresywnie czyści zainfekowane hosty, usuwając ślady konkurencyjnych botnetów, ładunków opartych na Dockerze, pozostałości po wcześniejszych kampaniach i powiązanych zadaniach cron, jednocześnie zapewniając trwałość poprzez modyfikacje pliku /etc/crontab.
Szkodliwe oprogramowanie dodatkowo wymusza wyłączność, stale skanując system plików /proc w celu identyfikacji aktywnych plików wykonywalnych i zamykając wszystkie procesy spoza białej listy mniej więcej co 45 sekund. Takie zachowanie skutecznie blokuje próby ponownej infekcji przez inne podmioty atakujące.
Zmniejszanie ryzyka i ograniczanie narażenia
Aby przeciwdziałać zagrożeniu ze strony RondoDox, zespoły ds. bezpieczeństwa powinny przyjąć wielowarstwową strategię obronną:
- Niezwłocznie zaktualizuj wdrożenia Next.js do wersji w pełni poprawionych, uwzględniających lukę CVE-2025-55182.
- Izoluj urządzenia IoT w ramach dedykowanych sieci VLAN, aby ograniczyć ruch boczny.
- Wdrażaj zapory aplikacji internetowych (WAF) i stale monitoruj wykonywanie procesów w celu wykrycia nieprawidłowości.
- Proaktywnie blokuj znaną infrastrukturę poleceń i kontroli powiązaną z botnetem.
Łącznie środki te znacząco redukują prawdopodobieństwo wystąpienia incydentów i pomagają ograniczyć skutki trwającej aktywności botnetów.
