Botnet sadrži više od 50 eksploatacija usmjerenih na nezakrpljene rutere, DVR/NVR uređaje, CCTV sisteme, servere i druge mrežne komponente.
Prema izvještaju kompanije Trend Micro, novootkriveni botnet pod nazivom RondoDox koristi takozvani “šotgan” pristup kompromitovanju uređaja, u kojem istovremeno primjenjuje veliki broj različitih eksploatacija na širok spektar mrežnih proizvoda — od rutera i servera do kamera i IoT opreme.
RondoDox je započeo aktivnosti sredinom 2025. godine i povezan je sa zloupotrebom ranjivosti CVE-2023-1389, greške u komandnom injektovanju na WAN interfejsu TP-Link Archer AX21 rutera, koja je otkrivena tokom hakerskog takmičenja Pwn2Own Toronto 2022. godine.
U junu, botnet je proširio djelovanje eksploatišući ranjivosti CVE-2024-3721 i CVE-2024-12856, dvije ozbiljne greške u TBK DVR-ima i Four-Faith ruterima, nakon čega je značajno proširio listu svojih meta.
Prema podacima Trend Micro-a, RondoDox sada cilja rutere, DVR i NVR uređaje, CCTV sisteme, veb servere i druge mrežne komponente više od 30 proizvođača.
Ukupno je identifikovano 56 ranjivosti koje botnet koristi, od kojih 18 još uvijek nema dodijeljen CVE identifikator. Većina tih propusta su komandne injekcije, a dio njih je dodat na CISA KEV listu (poznatu listu ranjivosti koje se aktivno eksploatišu), što ukazuje na hitnu potrebu za ažuriranjem i zakrpom sistema.
Krajem septembra, kompanija CloudSek je upozorila na porast napada od 230% od sredine godine, potaknut iskorišćavanjem slabih lozinki, nefiltriranog unosa i zastarjelih CVE-ova.
Kompromitovani uređaji se koriste za rudarenje kriptovaluta, DDoS napade (distribuisane uskraćenosti servisa), kao i za upade u mreže preduzeća.
Operateri RondoDox-a brzo mijenjaju infrastrukturu kako bi izbjegli detekciju, a otkriveno je i da se njegove binarne datoteke distribuiraju zajedno sa Mirai i Morte malicioznim payload-ima.
Trend Micro navodi da je RondoDox nedavno dodatno proširio distribuciju koristeći “loader-as-a-service” infrastrukturu, koja omogućava zajedničko pakovanje RondoDox-a sa Mirai/Morte payload-ima, čineći detekciju i sanaciju još hitnijom.
Botnet cilja ARM, MIPS i druge Linux arhitekture, a sposoban je da pokreće DDoS napade koristeći HTTP, UDP i TCP pakete. Takođe, lažno se predstavlja kao platforma za igranje ili VPN servis kako bi prikrio maliciozni saobraćaj i izbjegao otkrivanje.
“Strategija ovog botneta, koja koristi više od 50 ranjivosti na preko 30 različitih vendora, jasno pokazuje koliki rizik imaju organizacije koje održavaju internet-izloženu mrežnu infrastrukturu bez adekvatnih bezbjednosnih kontrola,” zaključuje Trend Micro.
Izvor: SecurityWeek
