Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Botnets Fushata e Sulmit të Botnet IoT të RondoDox

Fushata e Sulmit të Botnet IoT të RondoDox

Nga MezoBotnets
Përkthe në:

Analistët e sigurisë kibernetike kanë zbuluar një fushatë shumë të vazhdueshme që zgjati afërsisht nëntë muaj, e cila ka synuar në mënyrë aktive pajisjet dhe aplikacionet web të Internetit të Gjërave (IoT). Objektivi i këtij operacioni ka qenë rekrutimi i sistemeve të cenueshme në një botnet të quajtur RondoDox, duke demonstruar si durim ashtu edhe pjekuri operacionale nga ana e sulmuesve.

React2Shell: Pika Kritike e Hyrjes

Që nga dhjetori i vitit 2025, studiuesit vunë re fushatën që shfrytëzonte React2Shell (CVE-2025-55182) si mekanizmin e saj kryesor të aksesit fillestar. Kjo dobësi kritike, që mban një rezultat CVSS prej 10.0, ndikon në Komponentët e Serverit React (RSC) dhe implementimet Next.js. Kur nuk pajiset me patch, ajo lejon ekzekutimin e kodit në distancë të paautorizuar, duke u dhënë në mënyrë efektive sulmuesve kontroll të plotë mbi sistemet e ekspozuara.

Ekspozimi në Shkallë: Ndikim Global

Telemetria e mbledhur deri në fund të dhjetorit 2025 tregon se afërsisht 90,300 raste të cenueshme mbeten të ekspozuara në të gjithë botën. Shumica ndodhen në Shtetet e Bashkuara, duke përbërë afërsisht 68,400 sisteme. Rajone të tjera të prekura ndjeshëm përfshijnë Gjermaninë me rreth 4,300 raste, Francën me 2,800 dhe Indinë me 1,500, duke nënvizuar shtrirjen globale të problemit.

RondoDox Zhvillon Arsenalin e saj të Shfrytëzueshëm

I identifikuar për herë të parë në fillim të vitit 2025, RondoDox ka zgjeruar vazhdimisht aftësitë e tij duke përfshirë dobësi shtesë të ditës-N në mjetet e tij të shfrytëzimit. Këto përfshijnë CVE-2023-1389 dhe CVE-2025-24893. Raportimet e mëparshme kishin paralajmëruar tashmë për përdorimin e React2Shell nga botnet-i, duke theksuar një trend të armatimit të shpejtë të të metave të zbuluara rishtazi.

Tre Faza të Përshkallëzimit

Përpara se të përdorte CVE-2025-55182 si armë, fushata RondoDox përparoi përmes një cikli të strukturuar përshkallëzimi:

Mars–Prill 2025 : Zbulim i fokusuar i shoqëruar me zbulim dhe testim manual të dobësive.

Prill–Qershor 2025 : Testim i përditshëm në shkallë të gjerë i platformave të zakonshme të internetit si WordPress, Drupal dhe Struts2, së bashku me harduerin IoT, duke përfshirë routerat Wavlink.

Korrik–fillim dhjetori 2025 : Vendosje plotësisht e automatizuar, çdo orë, e projektuar për shtrirje dhe qëndrueshmëri maksimale.

Sulmet e Dhjetorit: Ngarkesa dhe Këmbëngulja

Gjatë aktivitetit të vëzhguar në dhjetor 2025, aktorët kërcënues skanuan për servera të ekspozuar Next.js dhe u përpoqën të vendosnin komponentë të shumtë keqdashës. Këto përfshinin minatorë kriptomonedhash, një ngarkues botnet dhe një program kontrolli shëndetësor, si dhe një variant botnet të bazuar në Mirai, i përshtatur për sistemet x86.

Një komponent kyç, '/nuts/bolts', luan një rol mbrojtës për sulmuesit. Ai sistematikisht i ndërpret programet keqdashëse konkurruese dhe minatorët e monedhave përpara se të rimarrë binarin kryesor të bot-it nga infrastruktura e tij e komandës dhe kontrollit (C2). Një variant i identifikuar pastron në mënyrë agresive host-et e infektuara duke hequr gjurmët e botnet-eve rivale, ngarkesave të bazuara në Docker, mbetjeve të fushatave të mëparshme dhe punëve cron të lidhura, ndërsa njëkohësisht krijon qëndrueshmëri përmes modifikimeve në /etc/crontab.

Malware-i imponon më tej ekskluzivitetin duke skanuar vazhdimisht sistemin e skedarëve /proc për të identifikuar skedarët ekzekutues aktivë, duke mbyllur çdo proces që nuk është në listën e bardhë afërsisht çdo 45 sekonda. Kjo sjellje bllokon në mënyrë efektive përpjekjet e riinfektimit nga aktorë të tjerë kërcënues.

Zvogëlimi i Rrezikut dhe Kufizimi i Ekspozimit

Për t'iu kundërvënë kërcënimit që paraqet RondoDox, ekipet e sigurisë duhet të miratojnë një strategji mbrojtëse të shtresuar:

  • Përditësoni menjëherë shpërndarjet e Next.js në versione të patch-uara plotësisht që adresojnë CVE-2025-55182.
  • Izoloni pajisjet IoT brenda VLAN-ve të dedikuara për të kufizuar lëvizjen anësore.
  • Implementoni Firewall-e të Aplikacioneve Web (WAF) dhe monitoroni vazhdimisht për ekzekutim anormal të proceseve.
  • Bllokoni në mënyrë proaktive infrastrukturën e njohur të komandës dhe kontrollit të lidhur me botnetin.

Të marra së bashku, këto masa zvogëlojnë ndjeshëm mundësinë e kompromentimit dhe ndihmojnë në përmbajtjen e ndikimit të aktivitetit të vazhdueshëm të botnet-it.

Në trend

Njoftim i Rëndësishëm për Mashtrimin me Email të...

Fishing, Spam
Emailet e papritura që kërkojnë vëmendje urgjente janë një armë e preferuar e kriminelëve kibernetikë. Nuk mund të theksohet sa e rëndësishme është të qëndrosh vigjilent kur mesazhet shfaqen papritur, veçanërisht ato që paralajmërojnë për probleme me llogarinë ose dokumente të publikuara rishtazi. Një kërcënim i tillë që qarkullon në internet është mashtrimi me email "Faturat po Publikohen",...

Më e shikuara

Po ngarkohet...