Site icon Kiber.ba

RondoDox botnet koristi “eksploatacijski šotgan” pristup

RondoDox botnet koristi “eksploatacijski šotgan” pristup-Kiber.ba

RondoDox botnet koristi “eksploatacijski šotgan” pristup-Kiber.ba

Botnet sadrži više od 50 eksploatacija usmjerenih na nezakrpljene rutere, DVR/NVR uređaje, CCTV sisteme, servere i druge mrežne komponente.

Prema izvještaju kompanije Trend Micro, novootkriveni botnet pod nazivom RondoDox koristi takozvani “šotgan” pristup kompromitovanju uređaja, u kojem istovremeno primjenjuje veliki broj različitih eksploatacija na širok spektar mrežnih proizvoda — od rutera i servera do kamera i IoT opreme.

RondoDox je započeo aktivnosti sredinom 2025. godine i povezan je sa zloupotrebom ranjivosti CVE-2023-1389, greške u komandnom injektovanju na WAN interfejsu TP-Link Archer AX21 rutera, koja je otkrivena tokom hakerskog takmičenja Pwn2Own Toronto 2022. godine.

U junu, botnet je proširio djelovanje eksploatišući ranjivosti CVE-2024-3721 i CVE-2024-12856, dvije ozbiljne greške u TBK DVR-ima i Four-Faith ruterima, nakon čega je značajno proširio listu svojih meta.

Prema podacima Trend Micro-a, RondoDox sada cilja rutere, DVR i NVR uređaje, CCTV sisteme, veb servere i druge mrežne komponente više od 30 proizvođača.

Ukupno je identifikovano 56 ranjivosti koje botnet koristi, od kojih 18 još uvijek nema dodijeljen CVE identifikator. Većina tih propusta su komandne injekcije, a dio njih je dodat na CISA KEV listu (poznatu listu ranjivosti koje se aktivno eksploatišu), što ukazuje na hitnu potrebu za ažuriranjem i zakrpom sistema.

Krajem septembra, kompanija CloudSek je upozorila na porast napada od 230% od sredine godine, potaknut iskorišćavanjem slabih lozinki, nefiltriranog unosa i zastarjelih CVE-ova.

Kompromitovani uređaji se koriste za rudarenje kriptovaluta, DDoS napade (distribuisane uskraćenosti servisa), kao i za upade u mreže preduzeća.

Operateri RondoDox-a brzo mijenjaju infrastrukturu kako bi izbjegli detekciju, a otkriveno je i da se njegove binarne datoteke distribuiraju zajedno sa Mirai i Morte malicioznim payload-ima.

Trend Micro navodi da je RondoDox nedavno dodatno proširio distribuciju koristeći “loader-as-a-service” infrastrukturu, koja omogućava zajedničko pakovanje RondoDox-a sa Mirai/Morte payload-ima, čineći detekciju i sanaciju još hitnijom.

Botnet cilja ARM, MIPS i druge Linux arhitekture, a sposoban je da pokreće DDoS napade koristeći HTTP, UDP i TCP pakete. Takođe, lažno se predstavlja kao platforma za igranje ili VPN servis kako bi prikrio maliciozni saobraćaj i izbjegao otkrivanje.

“Strategija ovog botneta, koja koristi više od 50 ranjivosti na preko 30 različitih vendora, jasno pokazuje koliki rizik imaju organizacije koje održavaju internet-izloženu mrežnu infrastrukturu bez adekvatnih bezbjednosnih kontrola,” zaključuje Trend Micro.

Izvor: SecurityWeek

Exit mobile version