Кампания атак ботнета RondoDox на устройства Интернета вещей
Аналитики в области кибербезопасности обнаружили крайне продолжительную кампанию, длившуюся около девяти месяцев и активно нацеленную на устройства Интернета вещей (IoT) и веб-приложения. Целью этой операции было внедрение уязвимых систем в ботнет под названием RondoDox, что демонстрирует как терпение, так и операционную зрелость злоумышленников.
Оглавление
React2Shell: важнейшая точка входа
По состоянию на декабрь 2025 года исследователи зафиксировали кампанию, использующую React2Shell (CVE-2025-55182) в качестве основного механизма первоначального доступа. Эта критическая уязвимость, имеющая оценку CVSS 10.0, затрагивает реализации React Server Components (RSC) и Next.js. Без исправления она позволяет выполнять удаленный код без аутентификации, фактически предоставляя злоумышленникам полный контроль над уязвимыми системами.
Масштабное освещение: глобальное воздействие
Данные телеметрии, собранные до конца декабря 2025 года, показывают, что во всем мире остается уязвимыми около 90 300 систем. Большинство из них расположены в Соединенных Штатах, где находится приблизительно 68 400 таких систем. К другим регионам, значительно пострадавшим от этой проблемы, относятся Германия (около 4300 случаев), Франция (2800) и Индия (1500), что подчеркивает глобальный масштаб проблемы.
RondoDox расширяет свой арсенал эксплойтов.
Впервые обнаруженная в начале 2025 года, уязвимость RondoDox неуклонно расширяла свои возможности, включая в свой набор инструментов для эксплуатации дополнительные уязвимости N-дневного периода. К ним относятся CVE-2023-1389 и CVE-2025-24893. Ранее сообщалось об использовании ботнетом React2Shell, что указывало на тенденцию к быстрому превращению недавно обнаруженных уязвимостей в оружие.
Три фазы эскалации
Перед использованием CVE-2025-55182 в качестве оружия кампания RondoDox проходила через структурированный цикл эскалации:
Март-апрель 2025 г .: Целенаправленная разведка в сочетании с ручным обнаружением и тестированием уязвимостей.
Апрель–июнь 2025 г .: Ежедневное масштабное тестирование распространенных веб-платформ, таких как WordPress, Drupal и Struts2, а также оборудования IoT, включая маршрутизаторы Wavlink.
Июль – начало декабря 2025 г .: Полностью автоматизированное развертывание с почасовой обработкой данных, разработанное для максимального охвата и устойчивости.
Декабрьские атаки: полезные нагрузки и устойчивость
В ходе активности, зафиксированной в декабре 2025 года, злоумышленники сканировали систему на наличие незащищенных серверов Next.js и пытались развернуть множество вредоносных компонентов. Среди них были майнеры криптовалюты, загрузчик ботнета и утилита для проверки работоспособности, а также вариант ботнета на основе Mirai, адаптированный для систем x86.
Ключевой компонент, '/nuts/bolts', играет защитную роль для злоумышленников. Он систематически уничтожает конкурирующие вредоносные программы и майнеры криптовалюты, прежде чем получить основной исполняемый файл бота из своей инфраструктуры управления и контроля (C2). Один из выявленных вариантов агрессивно очищает зараженные хосты, удаляя следы конкурирующих ботнетов, полезные нагрузки на основе Docker, остатки более ранних кампаний и связанные с ними задания cron, одновременно обеспечивая постоянное присутствие путем внесения изменений в файл /etc/crontab.
Вредоносная программа дополнительно обеспечивает эксклюзивность, постоянно сканируя файловую систему /proc для выявления активных исполняемых файлов и завершая любые процессы, не включенные в белый список, примерно каждые 45 секунд. Такое поведение эффективно блокирует попытки повторного заражения со стороны других злоумышленников.
Снижение риска и ограничение воздействия
Для противодействия угрозе, исходящей от RondoDox, группам безопасности следует применять многоуровневую стратегию защиты:
- Незамедлительно обновите развернутые приложения Next.js до полностью исправленных версий, устраняющих уязвимость CVE-2025-55182.
- Изолируйте IoT-устройства в выделенных VLAN-сетях, чтобы ограничить их перемещение по сети.
- Внедрите межсетевые экраны веб-приложений (WAF) и осуществляйте непрерывный мониторинг на предмет аномального выполнения процессов.
- Активно блокируйте известную инфраструктуру управления и контроля, связанную с ботнетом.
В совокупности эти меры значительно снижают вероятность компрометации и помогают сдержать последствия продолжающейся активности ботнетов.
