Кампанія з атаки ботнету RondoDox на Інтернет речей
Аналітики з кібербезпеки виявили надзвичайно стійку кампанію, яка тривала приблизно дев'ять місяців і активно атакувала пристрої Інтернету речей (IoT) та веб-додатки. Метою цієї операції було залучення вразливих систем до ботнету під назвою RondoDox, демонструючи терпіння та операційну зрілість з боку зловмисників.
Зміст
React2Shell: критична точка входу
Станом на грудень 2025 року дослідники спостерігали кампанію, яка використовувала React2Shell (CVE-2025-55182) як основний механізм початкового доступу. Ця критична вразливість, що має оцінку CVSS 10.0, впливає на реалізації React Server Components (RSC) та Next.js. Після виправлення вона дозволяє неавторизоване віддалене виконання коду, фактично надаючи зловмисникам повний контроль над уразливими системами.
Масштабний вплив: глобальний вплив
Телеметрія, зібрана до кінця грудня 2025 року, показує, що приблизно 90 300 вразливих екземплярів залишаються відкритими у всьому світі. Більшість із них розташовані у Сполучених Штатах, що становить приблизно 68 400 систем. Інші значно постраждалі регіони включають Німеччину з приблизно 4300 екземплярами, Францію з 2800 та Індію з 1500, що підкреслює глобальний масштаб проблеми.
RondoDox розвиває свій арсенал експлойтів
Вперше виявлений на початку 2025 року, RondoDox поступово розширював свої можливості, додаючи додаткові N-денні вразливості до свого інструментарію експлуатації. До них належать CVE-2023-1389 та CVE-2025-24893. У попередніх звітах вже попереджалося про використання ботнетом React2Shell, що підкреслювало тенденцію швидкого використання нещодавно виявлених недоліків як зброї.
Три фази ескалації
Перш ніж перетворити CVE-2025-55182 на зброю, кампанія RondoDox пройшла через структурований цикл ескалації:
Березень–квітень 2025 : Цілеспрямована розвідка в поєднанні з ручним виявленням та тестуванням вразливостей.
Квітень–червень 2025 : Щоденне масштабне зондування поширених веб-платформ, таких як WordPress, Drupal та Struts2, а також обладнання Інтернету речей, включаючи маршрутизатори Wavlink.
Липень – початок грудня 2025 року : повністю автоматизоване, погодинне розгортання, розроблене для максимального охоплення та довготривалості.
Грудневі атаки: корисне навантаження та наполегливість
Під час спостережуваної активності у грудні 2025 року зловмисники сканували сервери Next.js на наявність пошкоджених серверів та намагалися розгорнути кілька шкідливих компонентів. Серед них були майнери криптовалюти, завантажувач ботнету та утиліта перевірки справності, а також варіант ботнету на базі Mirai, адаптований для систем x86.
Ключовий компонент, «/nuts/bolts», відіграє захисну роль для зловмисників. Він систематично блокує конкуруючі шкідливі програми та майнери монет, перш ніж витягнути основний бінарний файл бота з його інфраструктури командування та управління (C2). Один ідентифікований варіант агресивно очищає заражені хости, видаляючи сліди конкуруючих ботнетів, корисні навантаження на основі Docker, залишки попередніх кампаній та пов'язані з ними завдання cron, одночасно забезпечуючи стійкість шляхом модифікації /etc/crontab.
Шкідливе програмне забезпечення також забезпечує ексклюзивність, постійно скануючи файлову систему /proc для виявлення активних виконуваних файлів, приблизно кожні 45 секунд завершуючи будь-які процеси, що не входять до білого списку. Така поведінка ефективно блокує спроби повторного зараження іншими зловмисниками.
Зменшення ризику та обмеження впливу
Щоб протидіяти загрозі, яку створює RondoDox, командам безпеки слід застосувати багаторівневу оборонну стратегію:
- Негайно оновіть розгортання Next.js до повністю виправлених версій, що вирішують проблему CVE-2025-55182.
- Ізолюйте пристрої Інтернету речей у межах виділених VLAN, щоб обмежити їхнє переміщення.
- Впроваджуйте брандмауери веб-застосунків (WAF) та постійно відстежуйте аномальне виконання процесів.
- Проактивно блокувати відому інфраструктуру командування та управління, пов'язану з ботнетом.
Разом ці заходи значно знижують ймовірність компрометації та допомагають стримувати вплив постійної активності ботнетів.
