Ботнет RondoDox
Вредоносные кампании, использующие ботнет RondoDox, значительно расширили поверхность атак, теперь нацеленные на более чем 50 уязвимостей у более чем 30 поставщиков. Эксперты по безопасности называют этот подход «шотом эксплойтов», отражающим неизбирательное нацеливание на широкий спектр инфраструктуры, доступной через интернет. В число уязвимых систем входят маршрутизаторы, цифровые видеорегистраторы (DVR), сетевые видеорегистраторы (NVR), системы видеонаблюдения, веб-серверы и множество других сетевых устройств.
Оглавление
Ранние вторжения и исторический контекст
Первая заметная активность RondoDox была зафиксирована в июле 2025 года, когда исследователи задокументировали атаки на цифровые видеорегистраторы TBK и маршрутизаторы Four-Faith. Эти устройства были включены в ботнет, предназначенный для проведения распределенных атак типа «отказ в обслуживании» (DDoS) по протоколам HTTP, UDP и TCP.
15 июня 2025 года была обнаружена конкретная попытка вторжения, направленная на маршрутизаторы TP-Link Archer через уязвимость CVE-2023-1389, которая неоднократно эксплуатировалась с момента ее обнаружения в конце 2022 года. Эти инциденты демонстрируют продолжающуюся эволюцию RondoDox от случайных атак на отдельные устройства к более масштабным и скоординированным кампаниям.
Расширенное распространение через Loader-as-a-Service
Компания RondoDox недавно внедрила модель «загрузчик как услуга» (LaaS), упаковывая свою полезную нагрузку вместе с вредоносными программами Mirai и Morte. Эта тактика позволяет злоумышленникам распространять несколько угроз одновременно, что затрудняет обнаружение и устранение угроз.
Ключевые характеристики этой расширенной кампании включают в себя:
- Использование слабых учетных данных, несанкционированных входных данных и устаревших CVE для компрометации устройств
- Ориентация на маршрутизаторы SOHO, устройства IoT и корпоративные приложения
- Многовекторная эксплуатация, сигнализирующая о переходе от использования одного устройства к скоординированному развертыванию ботнета
Широкомасштабный Арсенал
В настоящее время RondoDox использует почти 56 уязвимостей, 18 из которых остаются без идентификаторов CVE. Эксплуатируемые системы принадлежат широкому кругу производителей, включая:
D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQrouter, Ricon, Nexxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH, Zyxel, Hytec Inter, Belkin, Billion и Cisco.
Этот растущий арсенал демонстрирует растущую сложность ботнета и его способность использовать как известные, так и ранее не документированные уязвимости.
Последствия для кибербезопасности
Последние кампании RondoDox представляют собой значительный шаг в развитии автоматизированной эксплуатации сетей. Сочетая операции «загрузчик как услуга» с расширенным набором эксплойтов, злоумышленники выходят за рамки случайных атак на отдельные устройства, переходя к стратегическим многовекторным ботнет-операциям.
Команды безопасности должны сохранять бдительность, уделяя первоочередное внимание устранению известных уязвимостей, мониторингу подозрительной сетевой активности и развертыванию упреждающих средств обнаружения для снижения риска, создаваемого этими быстро развивающимися угрозами.
