Ботнет RondoDox
Шкідливі кампанії, що використовують ботнет RondoDox, значно розширили свою зону атаки, тепер націлившись на понад 50 вразливостей у понад 30 постачальників. Експерти з безпеки описують цей підхід як «дробовик експлойтів», що відображає невибіркове націлювання на широкий спектр інфраструктури, що піддається впливу Інтернету. Уражені системи включають маршрутизатори, цифрові відеореєстратори (DVR), мережеві відеореєстратори (NVR), системи відеоспостереження, веб-сервери та численні інші пристрої, підключені до мережі.
Зміст
Ранні вторгнення та історичний контекст
Першу помітну активність RondoDox було зафіксовано в липні 2025 року, коли дослідники задокументували атаки на відеореєстратори TBK та маршрутизатори Four-Faith. Ці пристрої були залучені до ботнету, призначеного для здійснення розподілених атак типу «відмова в обслуговуванні» (DDoS) через протоколи HTTP, UDP та TCP.
15 червня 2025 року було виявлено специфічну спробу вторгнення, спрямовану на маршрутизатори TP-Link Archer, через уразливість CVE-2023-1389, яку неодноразово використовували з моменту її розкриття наприкінці 2022 року. Ці інциденти підкреслюють постійну еволюцію RondoDox від опортуністичних атак на один пристрій до ширших, більш скоординованих кампаній.
Розширений розподіл завдяки Loader-as-a-Service
Нещодавно RondoDox перейшов на модель завантажувача як послуги (LaaS), упаковуючи своє корисне навантаження разом із шкідливими програмами Mirai та Morte. Ця тактика дозволяє зловмисникам одночасно поширювати кілька загроз, ускладнюючи виявлення та усунення наслідків.
Ключові характеристики цієї розширеної кампанії включають:
- Використання слабких облікових даних, несанітарних даних та застарілих CVE для компрометації пристроїв
- Орієнтація на SOHO-маршрутизатори, пристрої Інтернету речей та корпоративні додатки
- Багатовекторна експлуатація, що сигналізує про перехід від опортунізму на одному пристрої до скоординованого розгортання ботнетів
Широкий експлуатаційний арсенал
RondoDox зараз використовує майже 56 вразливостей, 18 з яких залишаються без ідентифікаторів CVE. Системи, що використовуються, охоплюють широкий спектр постачальників, включаючи:
D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQrouter, Ricon, Nexxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH, Zyxel, Hytec Inter, Belkin, Billion та Cisco.
Цей зростаючий арсенал демонструє зростаючу складність ботнету та його здатність використовувати як добре відомі, так і раніше недокументовані вразливості.
Наслідки для кібербезпеки
Останні кампанії RondoDox представляють собою значну еволюцію в автоматизованій експлуатації мереж. Поєднуючи операції завантаження як послуги з розширеним набором експлойтів, зловмисники виходять за рамки опортуністичних атак на окремі пристрої та переходять до стратегічних, багатовекторних операцій ботнетів.
Команди безпеки повинні залишатися пильними, надаючи пріоритет виправленню відомих вразливостей, моніторингу підозрілої мережевої активності та розгортанню проактивних інструментів виявлення для зменшення ризику, що виникає через ці швидкозмінні загрози.
