Просто "не обновили" роутер? А он уже выучил 75 эксплойтов и стал частью ботнета, который отключает защиту Linux

RondoDox Beelzebub FortiGuard ботнет IoT уязвимости Linux
Просто "не обновили" роутер? А он уже выучил 75 эксплойтов и стал частью ботнета, который отключает защиту Linux
RondoDox Beelzebub FortiGuard ботнет IoT уязвимости Linux

Ботнет вырос в семь раз и теперь атакует не только домашние устройства.

image

Обнаружена новая версия ботнета RondoDox, демонстрирующая резкий рост масштабов атак и уровня технической сложности. Исходная версия, описанная осенью 2024 года, использовала лишь пару уязвимостей в устройствах видеонаблюдения и маршрутизаторах. Вторая итерация RondoDox v2 задействует уже более 75 различных эксплойтов и расширяет целевую аудиторию с сегмента IoT до корпоративных приложений. Это делает вредоносную сеть значительно опаснее и универсальнее.

Анализ активности, зафиксированной с помощью ловушек, показал автоматические попытки атак с IP-адреса из Новой Зеландии. За короткое время было отправлено более семидесяти различных полезных нагрузок, все они предназначались для эксплуатации уязвимостей в маршрутизаторах и других устройствах с доступом к интернету. Заражение начиналось с загрузки шелл-скрипта с удалённого ресурса, после чего следовала установка двоичного файла, адаптированного под архитектуру целевой системы.

Особенность новой волны атак в том, что она полагается на многоступенчатую цепочку: от выбора правильной архитектуры и принудительной выгрузки конкурирующих вредоносных процессов до отключения защитных механизмов вроде SELinux и AppArmor. В качестве средства устойчивости к перезапуску используется cron-задание, срабатывающее при загрузке системы. Управление заражёнными устройствами происходит через несколько серверов на скомпрометированных IP-адресах, зарегистрированных на домашние подключения. Это затрудняет отслеживание и блокировку командных центров.

Ботнет использует XOR-шифрование конфигурационных данных, скрывает активность под обычными HTTP-запросами с User-Agent, имитирующими мобильные устройства, и обладает широким набором функций для проведения DDoS-атак. Среди них — HTTP-флуд с подделкой игрового трафика, атаки через UDP и SYN-флуды, а также имитация протоколов популярных сервисов и игр.

Файл дроппера содержит код, предназначенный для удаления других вредоносных программ, очистки временных каталогов, создания рабочей директории и загрузки подходящего исполняемого файла. Учитываются десятки архитектурных вариантов, включая x86, ARM, MIPS, PowerPC и другие. В каждом случае выполняется проверка успешности запуска — если двоичный файл завершает работу с определённым кодом, заражение прекращается.

По версии специалистов, новая версия ботнета использует открытые данные и почтовый адрес bang2013[@]atomicmail[.]io в коде, в HTTP-заголовках и внутри файлов на жёстком диске. Это позволяет отследить кампанию по множеству признаков: от сетевых индикаторов до содержимого каталогов и названий процессов. Ряд правил для Snort, Suricata и YARA уже опубликован.

По сравнению с первой версией, появившейся годом ранее, новая модификация RondoDox увеличила поверхность атаки примерно на 650%. Она вышла за пределы домашних устройств и начинает активно атаковать инфраструктуру предприятий. Такая универсальность и агрессивность ставят вредонос в один ряд с наиболее опасными ботнетами последних лет, включая Mirai и Gafgyt, но с более широкой архитектурной поддержкой и современными методами обхода защиты.