РондоДокс ботнет
Кампање злонамерног софтвера које користе ботнет RondoDox драматично су прошириле површину напада, сада циљајући преко 50 рањивости код више од 30 добављача. Стручњаци за безбедност описују овај приступ као „експлоатациону сачмарицу“, што одражава неселективно циљање широког спектра инфраструктуре изложене интернету. Погођени системи укључују рутере, дигиталне видео рекордере (DVR), мрежне видео рекордере (NVR), CCTV системе, веб сервере и бројне друге уређаје повезане на мрежу.
Преглед садржаја
Рани упади и историјски контекст
Прва значајна активност на RondoDox-у примећена је у јулу 2025. године, када су истраживачи документовали нападе на TBK DVR-ове и Four-Faith рутере. Ови уређаји су били регрутовани у ботнет дизајниран за извођење дистрибуираних DDoS напада преко HTTP, UDP и TCP протокола.
Специфични покушај упада откривен је 15. јуна 2025. године, усмерен на рутере TP-Link Archer путем CVE-2023-1389, грешке која је више пута искоришћена од њеног откривања крајем 2022. године. Ови инциденти указују на континуирану еволуцију RondoDox-а од опортунистичких напада на један уређај до ширих, координисанијих кампања.
Проширена дистрибуција путем Loader-as-a-Service
РондоДокс је недавно усвојио модел „учитавања као услуге“ (LaaS), пакујући свој корисни терет заједно са злонамерним вирусима Mirai и Morte. Ова тактика омогућава нападачима да истовремено дистрибуирају више претњи, што компликује напоре за откривање и санацију.
Кључне карактеристике ове проширене кампање укључују:
- Коришћење слабих акредитива, нехигијенских уноса и застарелих CVE-ова за угрожавање уређаја
- Циљање SOHO рутера, IoT уређаја и пословних апликација
- Вишевекторска експлоатација, што сигнализира прелазак са опортунизма на једном уређају на координисано распоређивање ботнета
Широки експлоатациони арсенал
РондоДокс сада користи скоро 56 рањивости, од којих 18 остаје без CVE идентификатора. Искоришћени системи обухватају широк спектар произвођача, укључујући:
Д-Линк, ТВТ, ЛИЛИН, Фиберхоум, Линксис, БИТЕВАЛУЕ, АСМАКС, Брикком, ИКрутер, Рикон, Некст, НЕТГИР, Апачи, ТБК, ТОТОЛИНК, Метеобриџ, Дигиевер, Едимакс, КНАП, ГНУ, Дасан, Тенда, ЛБ-ЛИНК, АВТЕХ, Зајсел, Хајтек Интер, Белкин, Билион и Циско.
Овај растући арсенал показује све већу софистицираност ботнета и његову способност да искористи и добро познате и раније недокументоване рањивости.
Импликације по сајбер безбедност
Најновије RondoDox кампање представљају значајну еволуцију у аутоматизованој експлоатацији мреже. Комбиновањем операција „loader-as-a-service“ са проширеним скупом експлоатација, нападачи прелазе са опортунистичких напада на појединачне уређаје ка стратешким, вишевекторским ботнет операцијама.
Безбедносни тимови морају остати будни, дајући приоритет исправљању познатих рањивости, праћењу сумњивих мрежних активности и примени проактивних алата за детекцију како би ублажили ризик који представљају ове брзо еволуирајуће претње.
