Mạng bot RondoDox
Các chiến dịch phần mềm độc hại khai thác mạng botnet RondoDox đã mở rộng đáng kể phạm vi tấn công, hiện nhắm mục tiêu vào hơn 50 lỗ hổng bảo mật trên hơn 30 nhà cung cấp. Các chuyên gia bảo mật mô tả phương pháp này là "súng shotgun khai thác", phản ánh việc nhắm mục tiêu bừa bãi vào nhiều cơ sở hạ tầng tiếp xúc với internet. Các hệ thống bị ảnh hưởng bao gồm bộ định tuyến, đầu ghi hình kỹ thuật số (DVR), đầu ghi hình mạng (NVR), hệ thống camera quan sát (CCTV), máy chủ web và nhiều thiết bị kết nối mạng khác.
Mục lục
Những cuộc xâm nhập ban đầu và bối cảnh lịch sử
Hoạt động đáng chú ý đầu tiên của RondoDox được phát hiện vào tháng 7 năm 2025, khi các nhà nghiên cứu ghi nhận các cuộc tấn công vào đầu ghi hình DVR TBK và bộ định tuyến Four-Faith. Các thiết bị này bị đưa vào một mạng botnet được thiết kế để thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS) trên các giao thức HTTP, UDP và TCP.
Một nỗ lực xâm nhập cụ thể đã được phát hiện vào ngày 15 tháng 6 năm 2025, nhắm vào bộ định tuyến TP-Link Archer thông qua CVE-2023-1389, một lỗ hổng đã bị khai thác nhiều lần kể từ khi được tiết lộ vào cuối năm 2022. Những sự cố này làm nổi bật sự phát triển liên tục của RondoDox từ các cuộc tấn công thiết bị đơn lẻ mang tính cơ hội sang các chiến dịch rộng hơn, được phối hợp chặt chẽ hơn.
Mở rộng phân phối thông qua dịch vụ Loader-as-a-Service
RondoDox gần đây đã áp dụng mô hình dịch vụ tải (LaaS), đóng gói phần mềm độc hại của mình cùng với Mirai và Morte. Chiến thuật này cho phép kẻ tấn công phát tán nhiều mối đe dọa cùng lúc, gây khó khăn cho việc phát hiện và khắc phục.
Các đặc điểm chính của chiến dịch mở rộng này bao gồm:
- Sử dụng thông tin xác thực yếu, dữ liệu đầu vào chưa được khử trùng và CVE cũ để xâm phạm thiết bị
- Nhắm mục tiêu vào bộ định tuyến SOHO, thiết bị IoT và các ứng dụng doanh nghiệp
- Khai thác đa hướng, báo hiệu sự chuyển dịch từ cơ hội thiết bị đơn lẻ sang triển khai botnet phối hợp
Kho vũ khí khai thác rộng
RondoDox hiện đang khai thác gần 56 lỗ hổng, trong đó 18 lỗ hổng chưa được xác định mã CVE. Các hệ thống bị khai thác thuộc nhiều nhà cung cấp khác nhau, bao gồm:
D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQrouter, Ricon, Nexxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH, Zyxel, Hytec Inter, Belkin, Billion và Cisco.
Kho vũ khí ngày càng phát triển này chứng minh tính tinh vi ngày càng tăng của botnet và khả năng khai thác cả những lỗ hổng đã biết và chưa được ghi nhận trước đây.
Tác động đến An ninh mạng
Các chiến dịch RondoDox mới nhất thể hiện sự tiến hóa đáng kể trong khai thác mạng tự động. Bằng cách kết hợp các hoạt động loader-as-a-service với bộ khai thác mở rộng, kẻ tấn công đang chuyển từ các cuộc tấn công cơ hội trên các thiết bị đơn lẻ sang các hoạt động botnet chiến lược, đa hướng.
Các nhóm bảo mật phải luôn cảnh giác, ưu tiên vá các lỗ hổng đã biết, giám sát hoạt động mạng đáng ngờ và triển khai các công cụ phát hiện chủ động để giảm thiểu rủi ro do các mối đe dọa đang phát triển nhanh chóng này gây ra.
