RondoDox Botnet
Zlonamerne kampanje, ki izkoriščajo botnet RondoDox, so dramatično razširile svojo površino napadov in zdaj ciljajo na več kot 50 ranljivosti pri več kot 30 prodajalcih. Varnostni strokovnjaki ta pristop opisujejo kot »izkoriščanje ranljivosti«, kar odraža neselektivno ciljanje širokega spektra infrastrukture, izpostavljene internetu. Prizadeti sistemi vključujejo usmerjevalnike, digitalne video snemalnike (DVR), omrežne video snemalnike (NVR), sisteme CCTV, spletne strežnike in številne druge naprave, povezane z omrežjem.
Kazalo
Zgodnji vdori in zgodovinski kontekst
Prva omembe vredna aktivnost RondoDoxa je bila opažena julija 2025, ko so raziskovalci dokumentirali napade na DVR-je TBK in usmerjevalnike Four-Faith. Te naprave so bile vpletene v botnet, zasnovan za izvajanje porazdeljenih napadov zavrnitve storitve (DDoS) prek protokolov HTTP, UDP in TCP.
15. junija 2025 je bil zaznan specifičen poskus vdora, ki je bil usmerjen v usmerjevalnike TP-Link Archer prek napake CVE-2023-1389, ki je bila od razkritja konec leta 2022 večkrat izkoriščena. Ti incidenti poudarjajo nenehen razvoj RondoDoxa od oportunističnih napadov na eno samo napravo do širših, bolj usklajenih kampanj.
Razširjena distribucija prek storitve Loader-as-a-Service
RondoDox je pred kratkim sprejel model nalagalnika kot storitve (LaaS), pri čemer svoj koristni tovor pakira skupaj z zlonamerno programsko opremo Mirai in Morte. Ta taktika napadalcem omogoča hkratno distribucijo več groženj, kar otežuje odkrivanje in sanacijo.
Ključne značilnosti te razširjene kampanje vključujejo:
- Uporaba šibkih poverilnic, nehigieniziranih vnosov in starejših CVE-jev za ogrožanje naprav
- Ciljanje usmerjevalnikov SOHO, naprav interneta stvari in poslovnih aplikacij
- Večvektorsko izkoriščanje, ki signalizira premik od oportunizma na eni sami napravi k usklajenemu uvajanju botnetov
Široko izkoriščanje Arsenala
RondoDox zdaj uporablja skoraj 56 ranljivosti, od katerih jih 18 nima identifikatorjev CVE. Izkoriščeni sistemi prihajajo iz širokega nabora ponudnikov, vključno z:
D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQrouter, Ricon, Nexxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH, Zyxel, Hytec Inter, Belkin, Billion in Cisco.
Ta rastoči arzenal dokazuje vse večjo prefinjenost botneta in njegovo sposobnost izkoriščanja tako dobro znanih kot prej nedokumentiranih ranljivosti.
Posledice za kibernetsko varnost
Najnovejše kampanje RondoDox predstavljajo pomemben razvoj avtomatiziranega izkoriščanja omrežij. Z združevanjem operacij nalaganja kot storitve (loader-as-a-service) z razširjenim naborom izkoriščanj napadalci prehajajo iz oportunističnih napadov na posamezne naprave k strateškim, večvektorskim operacijam botnetov.
Varnostne ekipe morajo ostati budne, dati prednost odpravljanju znanih ranljivosti, spremljanju sumljivih omrežnih dejavnosti in uporabi proaktivnih orodij za odkrivanje, da bi ublažile tveganje, ki ga predstavljajo te hitro razvijajoče se grožnje.
