Botnet RondoDox
Škodlivé kampane využívajúce botnet RondoDox dramaticky rozšírili svoju útočnú plochu a teraz sa zameriavajú na viac ako 50 zraniteľností u viac ako 30 dodávateľov. Bezpečnostní experti opisujú tento prístup ako „zraniteľnú brokovnicu“, ktorá odráža nerozlišujúce zacielenie na širokú škálu infraštruktúry vystavenej internetu. Medzi postihnuté systémy patria smerovače, digitálne videorekordéry (DVR), sieťové videorekordéry (NVR), systémy CCTV, webové servery a množstvo ďalších zariadení pripojených k sieti.
Obsah
Skoré intrúzie a historický kontext
Prvá pozoruhodná aktivita RondoDoxu bola pozorovaná v júli 2025, keď výskumníci zdokumentovali útoky na DVR TBK a routery Four-Faith. Tieto zariadenia boli zapojené do botnetu určeného na vykonávanie distribuovaných útokov typu odmietnutie služby (DDoS) cez protokoly HTTP, UDP a TCP.
15. júna 2025 bol zistený konkrétny pokus o prienik, ktorý bol zameraný na routery TP-Link Archer prostredníctvom chyby CVE-2023-1389, ktorá bola opakovane zneužívaná od jej odhalenia koncom roka 2022. Tieto incidenty poukazujú na prebiehajúci vývoj útoku RondoDox od oportunistických útokov na jedno zariadenie k širším a koordinovanejším kampaniam.
Rozšírená distribúcia prostredníctvom služby Loader-as-a-Service
Spoločnosť RondoDox nedávno prijala model zavádzania ako služby (LaaS), v ktorom svoje užitočné zaťaženie balí spolu s malvérom Mirai a Morte. Táto taktika umožňuje útočníkom distribuovať viacero hrozieb súčasne, čo komplikuje úsilie o detekciu a nápravu.
Medzi kľúčové charakteristiky tejto rozšírenej kampane patria:
- Používanie slabých prihlasovacích údajov, neoprávnených vstupov a starších CVE na ohrozenie zariadení
- Zameranie na SOHO routery, IoT zariadenia a podnikové aplikácie
- Viacvektorové zneužívanie signalizuje prechod od oportunizmu na jednom zariadení ku koordinovanému nasadzovaniu botnetov
Široký exploit Arsenal
RondoDox v súčasnosti využíva takmer 56 zraniteľností, z ktorých 18 zostáva bez identifikátorov CVE. Zneužité systémy pochádzajú od širokej škály dodávateľov vrátane:
D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQrouter, Ricon, Nexxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH, Zyxel, Hytec Inter, Belkin, Billion a Cisco.
Tento rastúci arzenál demonštruje rastúcu sofistikovanosť botnetu a jeho schopnosť zneužívať známe aj predtým nezdokumentované zraniteľnosti.
Dôsledky pre kybernetickú bezpečnosť
Najnovšie kampane RondoDox predstavujú významný vývoj v automatizovanom zneužívaní sietí. Kombináciou operácií typu loader-as-a-service s rozšíreným súborom exploitov sa útočníci posúvajú od oportunistických útokov na jednotlivé zariadenia smerom k strategickým, viacvektorovým operáciám botnetov.
Bezpečnostné tímy musia zostať ostražité, uprednostňovať opravovanie známych zraniteľností, monitorovať podozrivú sieťovú aktivitu a nasadzovať proaktívne detekčné nástroje na zmiernenie rizika, ktoré predstavujú tieto rýchlo sa vyvíjajúce hrozby.
