新たに確認されたボットネットが「ショットガン」手法でデバイスの侵害を試みており、ルーター、サーバー、カメラ、その他のネットワーク製品を標的とする50以上のエクスプロイトを搭載していると、トレンドマイクロが報告しています。
RondoDoxと名付けられたこのボットネットは、2025年半ばに活動を開始し、TP-Link Archer AX21ルーターのWANインターフェースに存在するコマンドインジェクションの脆弱性であるCVE-2023-1389の悪用と関連付けられました。この脆弱性は2022年のPwn2Own Toronto ハッキングコンテストで公開されました。
6月には、RondoDoxがTBK DVRおよびFour-Faithルーターの2つの重大な脆弱性であるCVE-2024-3721およびCVE-2024-12856を標的にしていることが確認され、その後、標的リストを大幅に拡大しました。
トレンドマイクロによると、このボットネットは現在、30社以上のベンダーのルーター、DVR、NVR、CCTVシステム、ウェブサーバー、その他のネットワーク機器を標的にしています。
RondoDoxは合計56件の脆弱性を標的としており、そのうち18件にはCVE識別子が割り当てられていません。これらの多くはコマンドインジェクションのバグであり、その一部は米国サイバーセキュリティ庁(CISA)のKEVリストにも追加されており、即時のパッチ適用の必要性が強調されています。
9月下旬、CloudSekは2025年半ば以降、弱い認証情報、未処理の入力、古いCVEの悪用によってボットネットの攻撃が230%急増していると警告しました。
サイバーセキュリティ企業によると、感染したデバイスは暗号通貨のマイニング、分散型サービス妨害(DDoS)攻撃、企業ネットワークへの侵入に悪用されています。
RondoDoxの運用者は検知を回避するためにインフラを素早く切り替えており、RondoDoxのバイナリはMiraiやMorteのペイロードと共に配布されているのが確認されています。
広告。スクロールして続きをお読みください。
「最近では、RondoDoxは『ローダー・アズ・ア・サービス』インフラを利用してMirai/MorteペイロードとRondoDoxを同梱し、配布範囲を拡大しており、検知と対策がより急務となっています」とトレンドマイクロは述べています。
RondoDoxはARM、MIPS、さまざまなLinuxアーキテクチャを標的としています。HTTP、UDP、TCPパケットを利用したDDoS攻撃を実行でき、既知のゲームプラットフォームをエミュレートしたり、VPNサービスを装って悪意のあるトラフィックを隠し、検知を回避します。
「このキャンペーンのショットガン的手法で、30社以上のベンダーにまたがる50以上の脆弱性を標的としていることは、十分なセキュリティ対策が施されていないインターネット公開ネットワークインフラを維持している組織が直面する継続的なリスクを浮き彫りにしています」とトレンドマイクロは指摘しています。
翻訳元: https://www.securityweek.com/rondodox-botnet-takes-exploit-shotgun-approach/
