RondoDox با رویکردی تهاجمی و ضربتی، از باگهای موجود در تجهیزات کاربردی در سراسر جهان سوءاستفاده میکند.
کمپینهای بدافزاری که باتنت RondoDox را توزیع میکنند، تمرکز هدفگیری خود را گسترش دادهاند و از بیش از ۵۰ آسیبپذیری در بیش از ۳۰ وندور سوءاستفاده میکنند.
به گفتهی Trend Micro، این فعالیت که شبیه به رویکرد «Exploit Shotgun» توصیف میشود، طیف گستردهای از زیرساختهای در معرض اینترنت، از جمله روترها، ضبطکنندههای ویدئویی دیجیتال (DVR)، ضبطکنندههای ویدئویی شبکه (NVR)، سیستمهای دوربین مداربسته، سرورهای وب و سایر دستگاههای شبکه را هدف قرار داده است.
این شرکت امنیت سایبری اعلام کرد که در ۱۵ ژوئن ۲۰۲۵، یک تلاش برای نفوذ به RondoDox را شناسایی کرده است، زمانی که مهاجمان از CVE-2023-1389، یک نقص امنیتی در روترهای TP-Link Archer که از زمان اولین افشای آن در اواخر سال ۲۰۲۲ بارها مورد سوءاستفاده فعال قرار گرفته است، سوءاستفاده کردند.
RondoDox اولین بار توسط Fortinet FortiGuard Labs در ژوئیه ۲۰۲۵ مستند شد و جزئیات حملاتی را که ضبطکنندههای ویدیوی دیجیتال (DVR) TBK و روترهای Four-Faith را هدف قرار میداد، شرح داد تا آنها را در یک باتنت برای انجام حملات DDoS علیه اهداف خاص با استفاده از پروتکلهای HTTP، UDP و TCP به کار گیرد.
مجموعه گسترده اکسپلویتهای RondoDox شامل نزدیک به پنجاه و دوجین نقص امنیتی است که از این تعداد، به ۱۸ مورد شناسه CVE اختصاص داده نشده است. این ۵۶ آسیبپذیری شامل وندورهای مختلفی مانند D-Link، TVT، LILIN، Fiberhome، Linksys، BYTEVALUE، ASMAX، Brickcom، IQrouter، Ricon، Nexxt، NETGEAR، Apache، TBK، TOTOLINK، Meteobridge، Digiever، Edimax، QNAP، GNU، Dasan، Tenda، LB-LINK، AVTECH، Zyxel، Hytec Inter، Belkin، Billion و Cisco میشود.
علت اینکه چرا حدود ۳۵ تا ۴۰ مورد از آسیبپذیریهایی که هدف قرار میدهد در دستگاههای کاربردی یافت میشوند چیست؟ به گفته محققین امنیتی Trend Micro این دستگاهها «علاوه بر اینکه در دسترس و متصل به اینترنت هستند، اساساً دستگاههای مدیریت نشدهای هستند و هرگز بهروزرسانی نمیشوند. وندورها وصلههای امنیتی را برای آنها منتشر می کنند، اما کاربران توجه لازم و کافی در نصب وصله ها را ندارند. اغلب این تجهیزات تهیه و روشن می شوند، آنها را به کار میاندازند و دیگر به آپدیت و به روز رسانی های لازم توجهی نمی شود.
اواخر ماه گذشته، CloudSEK جزئیات یک باتنت Loader-as-a-service در مقیاس بزرگ را فاش کرد که با سوءاستفاده از اعتبارنامههای ضعیف، ورودیهای غیرقابلکنترل و CVEهای قدیمی، بارهای داده RondoDox، Mirai و Morte را از طریق روترهای SOHO، دستگاههای اینترنت اشیا و برنامههای سازمانی توزیع میکرد.
منبع:
