แคมเปญโจมตี IoT ด้วยบอทเน็ต RondoDox

นักวิเคราะห์ด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญโจมตีต่อเนื่องยาวนานประมาณเก้าเดือน ซึ่งมุ่งเป้าไปที่อุปกรณ์ Internet of Things (IoT) และแอปพลิเคชันบนเว็บอย่างต่อเนื่อง วัตถุประสงค์ของการปฏิบัติการนี้คือการเกณฑ์ระบบที่เปราะบางเข้าสู่บอทเน็ตที่เรียกว่า RondoDox ซึ่งแสดงให้เห็นถึงความอดทนและความเชี่ยวชาญในการปฏิบัติการของผู้โจมตี

React2Shell: จุดเริ่มต้นที่สำคัญ

ณ เดือนธันวาคม 2025 นักวิจัยพบว่าแคมเปญนี้ใช้ช่องโหว่ React2Shell (CVE-2025-55182) เป็นกลไกหลักในการเข้าถึงระบบ ช่องโหว่ร้ายแรงนี้มีคะแนน CVSS 10.0 และส่งผลกระทบต่อ React Server Components (RSC) และการใช้งาน Next.js หากไม่ได้รับการแก้ไข ช่องโหว่นี้จะอนุญาตให้มีการเรียกใช้โค้ดจากระยะไกลโดยไม่ได้รับอนุญาต ทำให้ผู้โจมตีสามารถควบคุมระบบที่เปิดเผยได้อย่างสมบูรณ์

การเผยแพร่ในวงกว้าง: ผลกระทบระดับโลก

ข้อมูลการติดตามตรวจสอบที่รวบรวมได้จนถึงปลายเดือนธันวาคม 2025 ระบุว่า ยังคงมีระบบที่เสี่ยงต่อการถูกโจมตีอยู่ประมาณ 90,300 ระบบทั่วโลก โดยส่วนใหญ่อยู่ในสหรัฐอเมริกา คิดเป็นประมาณ 68,400 ระบบ ภูมิภาคอื่นๆ ที่ได้รับผลกระทบอย่างมีนัยสำคัญ ได้แก่ เยอรมนีประมาณ 4,300 ระบบ ฝรั่งเศส 2,800 ระบบ และอินเดีย 1,500 ระบบ ซึ่งแสดงให้เห็นถึงขอบเขตของปัญหาที่แพร่กระจายไปทั่วโลก

RondoDox พัฒนาคลังอาวุธโจมตีของตนให้ดียิ่งขึ้น

RondoDox ซึ่งถูกค้นพบครั้งแรกในช่วงต้นปี 2025 ได้ขยายขีดความสามารถอย่างต่อเนื่องโดยการเพิ่มช่องโหว่ N-day เข้าไปในชุดเครื่องมือโจมตี ซึ่งรวมถึง CVE-2023-1389 และ CVE-2025-24893 รายงานก่อนหน้านี้ได้เตือนถึงการใช้ React2Shell ของบอทเน็ตนี้แล้ว ซึ่งเน้นให้เห็นถึงแนวโน้มการนำช่องโหว่ที่เพิ่งเปิดเผยมาใช้เป็นอาวุธอย่างรวดเร็ว

สามขั้นตอนของการยกระดับ

ก่อนที่จะนำช่องโหว่ CVE-2025-55182 มาใช้โจมตี กลุ่มแฮ็กเกอร์ RondoDox ได้ดำเนินการผ่านวงจรการเพิ่มระดับความรุนแรงอย่างเป็นระบบ:

มีนาคม-เมษายน 2568 : การสำรวจเชิงรุกควบคู่ไปกับการค้นหาและทดสอบช่องโหว่ด้วยตนเอง

เมษายน–มิถุนายน 2025 : การตรวจสอบแพลตฟอร์มเว็บทั่วไป เช่น WordPress, Drupal และ Struts2 ในวงกว้างเป็นประจำทุกวัน ควบคู่ไปกับฮาร์ดแวร์ IoT รวมถึงเราเตอร์ Wavlink

กรกฎาคม – ต้นธันวาคม 2025 : การติดตั้งระบบอัตโนมัติเต็มรูปแบบทุกชั่วโมง ออกแบบมาเพื่อการเข้าถึงและความต่อเนื่องสูงสุด

การโจมตีในเดือนธันวาคม: เพย์โหลดและการคงอยู่ในการโจมตี

ในระหว่างกิจกรรมที่ตรวจพบในเดือนธันวาคม 2025 ผู้โจมตีได้สแกนหาเซิร์ฟเวอร์ Next.js ที่เปิดเผยและพยายามติดตั้งส่วนประกอบที่เป็นอันตรายหลายอย่าง ซึ่งรวมถึงโปรแกรมขุดคริปโตเคอร์เรนซี โปรแกรมโหลดบอทเน็ตและยูทิลิตี้ตรวจสอบสถานะ และบอทเน็ตเวอร์ชันที่ใช้ Mirai ซึ่งปรับแต่งสำหรับระบบ x86

ส่วนประกอบสำคัญอย่าง '/nuts/bolts' มีบทบาทในการป้องกันสำหรับผู้โจมตี โดยจะทำการกำจัดมัลแวร์และโปรแกรมขุดเหรียญดิจิทัลของคู่แข่งอย่างเป็นระบบ ก่อนที่จะดึงไฟล์ไบนารีหลักของบอทจากโครงสร้างพื้นฐานการควบคุมและสั่งการ (C2) เวอร์ชันหนึ่งที่พบจะทำการทำความสะอาดโฮสต์ที่ติดเชื้ออย่างรุนแรง โดยการลบร่องรอยของบอทเน็ตคู่แข่ง เพย์โหลดที่ใช้ Docker ส่วนที่เหลือจากแคมเปญก่อนหน้า และงาน Cron ที่เกี่ยวข้อง ในขณะเดียวกันก็สร้างความคงอยู่ถาวรผ่านการแก้ไขไฟล์ /etc/crontab

มัลแวร์นี้ยังบังคับใช้การผูกขาดโดยการสแกนระบบไฟล์ /proc อย่างต่อเนื่องเพื่อระบุไฟล์ปฏิบัติการที่กำลังทำงานอยู่ และยุติกระบวนการใดๆ ที่ไม่ได้รับอนุญาตทุกๆ ประมาณ 45 วินาที พฤติกรรมนี้ช่วยป้องกันการพยายามแพร่เชื้อซ้ำโดยผู้คุกคามรายอื่นได้อย่างมีประสิทธิภาพ

การลดความเสี่ยงและการจำกัดการสัมผัส

เพื่อรับมือกับภัยคุกคามจาก RondoDox ทีมรักษาความปลอดภัยควรใช้กลยุทธ์การป้องกันแบบหลายชั้น:

• อัปเกรดการใช้งาน Next.js เป็นเวอร์ชันที่ได้รับการแก้ไขช่องโหว่ CVE-2025-55182 อย่างสมบูรณ์โดยเร็วที่สุด
• แยกอุปกรณ์ IoT ไว้ใน VLAN เฉพาะ เพื่อจำกัดการเคลื่อนย้ายข้ามเครือข่าย
• ติดตั้งไฟร์วอลล์สำหรับเว็บแอปพลิเคชัน (WAF) และตรวจสอบการทำงานของกระบวนการที่ผิดปกติอย่างต่อเนื่อง
• ดำเนินการบล็อกโครงสร้างพื้นฐานการควบคุมและสั่งการที่ทราบแล้วซึ่งเกี่ยวข้องกับบอทเน็ตอย่างทันท่วงที

โดยรวมแล้ว มาตรการเหล่านี้ช่วยลดโอกาสที่จะเกิดการถูกโจมตีได้อย่างมีนัยสำคัญ และช่วยจำกัดผลกระทบจากกิจกรรมของบอทเน็ตที่กำลังดำเนินอยู่