Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Rețele bot Campania de atacuri RondoDox Botnet IoT

Campania de atacuri RondoDox Botnet IoT

Până în Mezo în Rețele bot
Tradu in:

Analiștii în domeniul securității cibernetice au descoperit o campanie extrem de persistentă, care a durat aproximativ nouă luni și care a vizat în mod activ dispozitivele și aplicațiile web din domeniul Internetului Lucrurilor (IoT). Obiectivul acestei operațiuni a fost de a recruta sisteme vulnerabile într-o rețea de bot-uri numită RondoDox, demonstrând atât răbdare, cât și maturitate operațională din partea atacatorilor.

React2Shell: Punctul critic de intrare

În decembrie 2025, cercetătorii au observat campania exploatând React2Shell (CVE-2025-55182) ca principal mecanism de acces inițial. Această vulnerabilitate critică, cu un scor CVSS de 10.0, afectează componentele React Server (RSC) și implementările Next.js. Atunci când nu este actualizată, permite executarea de cod la distanță neautentificată, oferind efectiv atacatorilor control deplin asupra sistemelor expuse.

Expunere la scară largă: Impact global

Datele telemetrice colectate până la sfârșitul lunii decembrie 2025 indică faptul că aproximativ 90.300 de instanțe vulnerabile rămân expuse la nivel mondial. Majoritatea sunt situate în Statele Unite, reprezentând aproximativ 68.400 de sisteme. Alte regiuni afectate semnificativ includ Germania cu aproximativ 4.300 de instanțe, Franța cu 2.800 și India cu 1.500, subliniind acoperirea globală a problemei.

RondoDox își dezvoltă arsenalul de exploatări

Identificată pentru prima dată la începutul anului 2025, RondoDox și-a extins constant capacitățile prin încorporarea unor vulnerabilități suplimentare de tip N-day în setul său de instrumente de exploatare. Acestea includ CVE-2023-1389 și CVE-2025-24893. Rapoartele anterioare avertizaseră deja cu privire la utilizarea React2Shell de către botnet, evidențiind o tendință de transformare rapidă în armă a defectelor nou dezvăluite.

Trei faze ale escaladării

Înainte de transformarea CVE-2025-55182 în armă, campania RondoDox a progresat printr-un ciclu structurat de escaladare:

Martie–aprilie 2025 : Recunoaștere concentrată, combinată cu descoperirea și testarea manuală a vulnerabilităților.

Aprilie–iunie 2025 : Testare zilnică, la scară largă, a platformelor web comune precum WordPress, Drupal și Struts2, alături de hardware IoT, inclusiv routere Wavlink.

Iulie – începutul lunii decembrie 2025 : Implementare complet automatizată, la fiecare oră, concepută pentru acoperire și persistență maxime.

Atacurile din decembrie: Sarcini utile și persistență

În timpul activității observate în decembrie 2025, actorii de amenințare au scanat serverele Next.js expuse și au încercat să implementeze mai multe componente rău intenționate. Acestea au inclus mineri de criptomonede, un încărcător de botnet și un utilitar de verificare a stării de funcționare, precum și o variantă de botnet bazată pe Mirai, adaptată pentru sistemele x86.

O componentă cheie, „/nuts/bolts”, joacă un rol defensiv pentru atacatori. Aceasta oprește sistematic programele malware și minerii de monede concurente înainte de a recupera fișierul binar principal al botului din infrastructura sa de comandă și control (C2). O variantă identificată curăță agresiv gazdele infectate prin eliminarea urmelor de botnet-uri rivale, a sarcinilor utile bazate pe Docker, a rămășițelor campaniilor anterioare și a joburilor cron asociate, stabilind simultan persistența prin modificări la /etc/crontab.

Malware-ul impune în continuare exclusivitatea prin scanarea continuă a sistemului de fișiere /proc pentru a identifica executabilele active, terminând orice procese care nu sunt incluse pe lista albă aproximativ la fiecare 45 de secunde. Acest comportament blochează eficient încercările de reinfectare ale altor actori amenințători.

Reducerea riscului și limitarea expunerii

Pentru a contracara amenințarea reprezentată de RondoDox, echipele de securitate ar trebui să adopte o strategie defensivă stratificată:

  • Actualizați prompt implementările Next.js la versiuni complet actualizate care abordează eroarea CVE-2025-55182.
  • Izolați dispozitivele IoT în VLAN-uri dedicate pentru a limita mișcarea laterală.
  • Implementați firewall-uri pentru aplicații web (WAF) și monitorizați continuu execuția anormală a proceselor.
  • Blocați proactiv infrastructura de comandă și control cunoscută asociată cu botnet-ul.

Luate împreună, aceste măsuri reduc semnificativ probabilitatea compromiterii și ajută la limitarea impactului activității continue a botnet-urilor.

Trending

Alertă importantă privind escrocheria prin e-mail a...

phishing, Spam
E-mailurile neașteptate care necesită atenție urgentă sunt o armă preferată a infractorilor cibernetici. Nu se poate sublinia îndeajuns cât de important este să rămâneți vigilenți atunci când apar mesaje pe neașteptate, în special cele care avertizează asupra problemelor contului sau a documentelor recent lansate. O astfel de amenințare care circulă online este escrocheria prin e-mailuri...

Cele mai văzute

Se încarcă...