изображение: recraft
В новом отчёте компании Trend Micro говорится о масштабной вредоносной кампании, в рамках которой ботнет RondoDox задействует более 50 уязвимостей в продуктах свыше 30 поставщиков. Специалисты описали эту активность как «шотландский эксплойт» — с намёком на разбросанную и агрессивную тактику атак на разные типы устройств.
Анализ выявил, что вектор угроз охватывает маршрутизаторы, DVR и NVR-системы, веб-серверы, IP-камеры и множество других устройств, подключённых к Интернету. Впервые попытка вторжения была зафиксирована 15 июня 2025 года, когда злоумышленники атаковали маршрутизаторы TP-Link Archer, используя уязвимость CVE-2023-1389. Эта уязвимость активно эксплуатируется с конца 2022 года.
RondoDox впервые описали аналитики Fortinet в июле 2025 года. Тогда ботнет применялся для создания DDoS-атаки с использованием устройств TBK и Four-Faith. Новые исследования показывают, что ботнет получил поддержку через инфраструктуру «загрузчик как услуга», что упростило его распространение и позволило объединять с другими вредоносными программами (в частности, Mirai и Morte).
Из 56 эксплуатируемых уязвимостей 18 не имеют CVE-идентификаторов, что делает их особенно трудными для отслеживания. В отчёте перечислены бренды, чья продукция используется злоумышленниками: D-Link, NETGEAR, QNAP, Apache, Cisco, Tenda, Zyxel, Linksys, Edimax, TVT, LILIN, Belkin, TOTOLINK, Ricon, Meteobridge, Digiever, Dasan, LB-LINK, IQrouter и др.
По данным CloudSEK, RondoDox участвует в более широкой бот-сети, распространяемой через SOHO-маршрутизаторы, IoT-устройства и корпоративные приложения. Атаки используют устаревшие уязвимости, небезопасные конфигурации и слабые логины.
Исследователи подчёркивают, что RondoDox больше не ограничивается единичными целями, а превращается в универсальный ботнет для многоступенчатых кампаний. Функциональность «загрузчика» даёт возможность подгружать разные типы вредоносных файлов, масштабировать атаки и выполнять их синхронно по множеству направлений.
На фоне активности RondoDox в отчёте также упоминается другой крупный ботнет — AISURU, использующий IoT-устройства у провайдеров AT&T, Comcast и Verizon. Аналитики связывают его с бразильским оператором под псевдонимом Forky и сервисом Botshield, продвигаемым как средство защиты от DDoS, но на деле используемым для организации самих атак.
Оригинал публикации на сайте CISOCLUB: "Trend Micro: ботнет RondoDox использует более 50 уязвимостей у 30+ производителей сетевого оборудования".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.