Кампања напада на ботнет интернет ствари у РондоДоксу
Аналитичари сајбер безбедности открили су веома упорну кампању која је трајала приближно девет месеци и која је активно циљала уређаје и веб апликације Интернета ствари (IoT). Циљ ове операције био је да се рањиви системи регрутују у ботнет назван RondoDox, демонстрирајући и стрпљење и оперативну зрелост нападача.
Преглед садржаја
React2Shell: Критична улазна тачка
Од децембра 2025. године, истраживачи су приметили кампању која је искоришћавала React2Shell (CVE-2025-55182) као свој примарни механизам почетног приступа. Ова критична рањивост, са CVSS оценом 10,0, утиче на имплементације React Server Components (RSC) и Next.js. Када се не закрпи, омогућава неаутентификовано даљинско извршавање кода, ефикасно дајући нападачима потпуну контролу над изложеним системима.
Изложеност на великој скали: Глобални утицај
Телеметрија прикупљена до краја децембра 2025. године показује да је отприлике 90.300 рањивих инстанци и даље изложено широм света. Већина се налази у Сједињеним Државама, што чини приближно 68.400 система. Остали значајно погођени региони укључују Немачку са око 4.300 инстанци, Француску са 2.800 и Индију са 1.500, што истиче глобални домет проблема.
РондоДокс развија свој арсенал експлоатације
Први пут идентификован почетком 2025. године, RondoDox је постепено проширивао своје могућности укључивањем додатних N-дневних рањивости у свој комплет алата за експлоатацију. То укључује CVE-2023-1389 и CVE-2025-24893. Претходни извештаји су већ упозоравали на коришћење React2Shell-а од стране ботнета, истичући тренд брзе претварања новооткривених пропуста у оружје.
Три фазе ескалације
Пре него што је CVE-2025-55182 постао оружје, кампања RondoDox је прошла кроз структурирани циклус ескалације:
Март–април 2025 : Фокусирано извиђање упарено са ручним откривањем и тестирањем рањивости.
Април–јун 2025 : Свакодневно, велико испитивање уобичајених веб платформи као што су WordPress, Drupal и Struts2, заједно са IoT хардвером, укључујући Wavlink рутере.
Јул–почетак децембра 2025 : Потпуно аутоматизовано, распоређивање на сваких сат времена дизајнирано за максималан домет и трајност.
Децембарски напади: Терет и упорност
Током активности примећене у децембру 2025. године, актери претњи су скенирали откривене Next.js сервере и покушали да примене више злонамерних компоненти. То је укључивало рудере криптовалута, услужни програм за учитавање и проверу исправности ботнета, као и варијанту ботнета засновану на Mirai-ју, прилагођену за x86 системе.
Кључна компонента, „/nuts/bolts“, игра одбрамбену улогу за нападаче. Она систематски уништава конкурентски малвер и копаче кованица пре него што преузме примарни бинарни фајл бота из своје командно-контролне (C2) инфраструктуре. Једна идентификована варијанта агресивно чисти заражене хостове уклањањем трагова ривалских ботнета, корисних оптерећења заснованих на Докеру, остатака ранијих кампања и повезаних cron задатака, док истовремено успоставља перзистентност кроз модификације /etc/crontab.
Злонамерни софтвер додатно намеће ексклузивност континуираним скенирањем фајл система /proc како би идентификовао активне извршне датотеке, прекидајући све процесе који нису на белој листи отприлике сваких 45 секунди. Ово понашање ефикасно блокира покушаје поновне инфекције од стране других претњи.
Смањење ризика и ограничавање изложености
Да би се супротставили претњи коју представља РондоДокс, безбедносни тимови треба да усвоје слојевиту одбрамбену стратегију:
- Одмах надоградите Next.js имплементације на потпуно ажуриране верзије које решавају проблем CVE-2025-55182.
- Изолујте IoT уређаје унутар наменских VLAN мрежа како бисте ограничили бочно кретање.
- Имплементирајте заштитне зидове веб апликација (WAF) и континуирано пратите аномално извршавање процеса.
- Проактивно блокирајте познату инфраструктуру командовања и контроле повезану са ботнетом.
Узете заједно, ове мере значајно смањују вероватноћу компромитовања и помажу у обуздавању утицаја текуће активности ботнета.
