RondoDox Botnet
RondoDox botnet'inden yararlanan kötü amaçlı yazılım saldırıları, saldırı alanlarını önemli ölçüde genişleterek artık 30'dan fazla tedarikçide 50'den fazla güvenlik açığını hedef alıyor. Güvenlik uzmanları, bu yaklaşımı, internete açık çok çeşitli altyapıların ayrım gözetmeksizin hedef alınmasını yansıtan bir "sömürü av tüfeği" olarak tanımlıyor. Etkilenen sistemler arasında yönlendiriciler, dijital video kayıt cihazları (DVR'ler), ağ video kayıt cihazları (NVR'ler), CCTV sistemleri, web sunucuları ve ağa bağlı çok sayıda başka cihaz yer alıyor.
İçindekiler
Erken Müdahaleler ve Tarihsel Bağlam
İlk kayda değer RondoDox etkinliği, araştırmacıların TBK DVR'larına ve Four-Faith yönlendiricilerine yönelik saldırıları belgelediği Temmuz 2025'te gözlemlendi. Bu cihazlar, HTTP, UDP ve TCP protokolleri üzerinden dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirmek üzere tasarlanmış bir botnet'e dahil ediliyordu.
15 Haziran 2025'te, TP-Link Archer yönlendiricilerini hedef alan ve 2022 sonlarında ifşa edilmesinden bu yana defalarca istismar edilen CVE-2023-1389 güvenlik açığını hedef alan belirli bir saldırı girişimi tespit edildi. Bu olaylar, RondoDox'un fırsatçı tek cihaz saldırılarından daha geniş kapsamlı ve daha koordineli kampanyalara doğru evrimini gözler önüne seriyor.
Hizmet Olarak Yükleyici Aracılığıyla Genişletilmiş Dağıtım
RondoDox, yakın zamanda yükünü Mirai ve Morte kötü amaçlı yazılımlarıyla birlikte paketleyen bir hizmet olarak yükleyici (LaaS) modelini benimsedi. Bu taktik, saldırganların aynı anda birden fazla tehdidi dağıtmasına olanak tanıyarak tespit ve düzeltme çalışmalarını zorlaştırıyor.
Bu genişletilmiş kampanyanın temel özellikleri şunlardır:
- Cihazları tehlikeye atmak için zayıf kimlik bilgilerinin, temizlenmemiş girdilerin ve eski CVE'lerin kullanılması
- SOHO yönlendiricileri, IoT cihazları ve kurumsal uygulamaların hedeflenmesi
- Çok vektörlü sömürü, tek cihaz fırsatçılığından koordineli botnet dağıtımına geçişin sinyalini veriyor
Geniş İstismar Cephaneliği
RondoDox şu anda yaklaşık 56 güvenlik açığı kullanıyor ve bunların 18'i CVE tanımlayıcısı içermiyor. İstismar edilen sistemler, aşağıdakiler de dahil olmak üzere çok çeşitli tedarikçilere yayılıyor:
D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQrouter, Ricon, Nexxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH, Zyxel, Hytec Inter, Belkin, Billion ve Cisco.
Bu büyüyen cephanelik, botnetin giderek daha karmaşık hale geldiğini ve hem bilinen hem de daha önce belgelenmemiş güvenlik açıklarını istismar etme kapasitesini gösteriyor.
Siber Güvenlik İçin Sonuçlar
En son RondoDox saldırıları, otomatik ağ sömürüsünde önemli bir evrimi temsil ediyor. Hizmet olarak yükleyici operasyonlarını genişletilmiş bir sömürü setiyle birleştiren saldırganlar, tek cihazlara yönelik fırsatçı saldırıların ötesine geçerek stratejik, çok vektörlü botnet operasyonlarına yöneliyor.
Güvenlik ekipleri, bilinen güvenlik açıklarını yamalamaya, şüpheli ağ etkinliklerini izlemeye ve hızla gelişen bu tehditlerin oluşturduğu riski azaltmak için proaktif tespit araçları kullanmaya öncelik vererek tetikte olmalıdır.
