บอตเน็ต RondoDox
แคมเปญมัลแวร์ที่ใช้ประโยชน์จากบอตเน็ต RondoDox ได้ขยายพื้นที่การโจมตีอย่างมาก โดยปัจจุบันมีเป้าหมายโจมตีช่องโหว่มากกว่า 50 จุดในผู้จำหน่ายมากกว่า 30 ราย ผู้เชี่ยวชาญด้านความปลอดภัยอธิบายว่าวิธีการนี้เป็นเหมือน "ปืนลูกซองโจมตี" ซึ่งสะท้อนถึงการโจมตีโครงสร้างพื้นฐานที่เสี่ยงต่ออินเทอร์เน็ตอย่างไม่เลือกหน้า ระบบที่ได้รับผลกระทบประกอบด้วยเราเตอร์ เครื่องบันทึกวิดีโอดิจิทัล (DVR) เครื่องบันทึกวิดีโอเครือข่าย (NVR) ระบบกล้องวงจรปิด เว็บเซิร์ฟเวอร์ และอุปกรณ์อื่นๆ อีกมากมายที่เชื่อมต่อเครือข่าย
สารบัญ
การบุกรุกในช่วงแรกและบริบททางประวัติศาสตร์
กิจกรรม RondoDox ที่โดดเด่นครั้งแรกถูกพบในเดือนกรกฎาคม พ.ศ. 2568 เมื่อนักวิจัยบันทึกการโจมตีบน TBK DVR และเราเตอร์ Four-Faith อุปกรณ์เหล่านี้ถูกเกณฑ์เข้าเป็นบอตเน็ตที่ออกแบบมาเพื่อดำเนินการโจมตีแบบ Distributed Denial-of-Service (DDoS) ผ่านโปรโตคอล HTTP, UDP และ TCP
ตรวจพบความพยายามบุกรุกที่เฉพาะเจาะจงเมื่อวันที่ 15 มิถุนายน 2568 โดยกำหนดเป้าหมายไปที่เราเตอร์ TP-Link Archer ผ่าน CVE-2023-1389 ซึ่งเป็นข้อบกพร่องที่ถูกใช้ประโยชน์ซ้ำแล้วซ้ำเล่านับตั้งแต่เปิดเผยในช่วงปลายปี 2565 เหตุการณ์เหล่านี้เน้นย้ำถึงวิวัฒนาการอย่างต่อเนื่องของ RondoDox จากการโจมตีอุปกรณ์เดียวแบบฉวยโอกาสไปสู่แคมเปญที่กว้างขึ้นและประสานงานกันมากขึ้น
การขยายการจัดจำหน่ายผ่าน Loader-as-a-Service
RondoDox เพิ่งนำโมเดล Loader-as-a-Service (LaaS) มาใช้ โดยรวบรวมเพย์โหลดไว้กับมัลแวร์ Mirai และ Morte กลยุทธ์นี้ช่วยให้ผู้โจมตีสามารถกระจายภัยคุกคามหลายรายการพร้อมกันได้ ทำให้การตรวจจับและแก้ไขมีความซับซ้อนมากขึ้น
ลักษณะสำคัญของแคมเปญขยายนี้ ได้แก่:
- การใช้ข้อมูลประจำตัวที่อ่อนแอ อินพุตที่ไม่ได้รับการฆ่าเชื้อ และ CVE เดิมเพื่อเจาะอุปกรณ์
- การกำหนดเป้าหมายของเราเตอร์ SOHO อุปกรณ์ IoT และแอปพลิเคชันองค์กร
- การใช้ประโยชน์จากเวกเตอร์หลายตัวส่งสัญญาณถึงการเปลี่ยนแปลงจากการฉวยโอกาสบนอุปกรณ์เดียวไปสู่การใช้งานบอตเน็ตแบบประสานงาน
คลังอาวุธที่ใช้ประโยชน์ได้อย่างกว้างขวาง
ปัจจุบัน RondoDox มีช่องโหว่เกือบ 56 รายการ โดย 18 รายการยังคงไม่มีตัวระบุ CVE ระบบที่ถูกโจมตีครอบคลุมผู้จำหน่ายหลายราย ได้แก่:
D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQrouter, Ricon, Nexxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH, Zyxel, Hytec Inter, Belkin, Billion และ Cisco
คลังอาวุธที่เพิ่มมากขึ้นนี้แสดงให้เห็นถึงความซับซ้อนที่เพิ่มมากขึ้นของบอตเน็ตและความสามารถในการใช้ประโยชน์จากช่องโหว่ที่เป็นที่รู้จักดีและที่ยังไม่มีการบันทึกมาก่อน
ผลกระทบต่อความปลอดภัยทางไซเบอร์
แคมเปญ RondoDox ล่าสุดแสดงให้เห็นถึงวิวัฒนาการครั้งสำคัญในการใช้ประโยชน์จากเครือข่ายอัตโนมัติ การรวมปฏิบัติการแบบ Loader-as-a-Service เข้ากับชุดช่องโหว่ที่ขยายใหญ่ขึ้น ทำให้ผู้โจมตีสามารถก้าวข้ามการโจมตีแบบฉวยโอกาสบนอุปกรณ์เดี่ยว ไปสู่การปฏิบัติการบอตเน็ตแบบหลายเวกเตอร์เชิงกลยุทธ์
ทีมงานด้านความปลอดภัยต้องยังคงเฝ้าระวัง โดยให้ความสำคัญกับการแก้ไขช่องโหว่ที่ทราบ ตรวจสอบกิจกรรมเครือข่ายที่น่าสงสัย และปรับใช้เครื่องมือตรวจจับเชิงรุกเพื่อบรรเทาความเสี่ยงที่เกิดจากภัยคุกคามที่เปลี่ยนแปลงอย่างรวดเร็วเหล่านี้
