Ботнет RondoDox: от рассеянного сканирования к целевому использованию новейших уязвимостей

Изначально RondoDox привлек внимание исследователей высоким объемом трафика, генерируемого в системах-ловушках (honeypots). Пиковая активность достигала 15 тысяч попыток эксплуатации в сутки. Ботнет, как и многие его предшественники, унаследовал черты печально известного Mirai, чей исходный код находится в открытом доступе. Однако, в отличие от Mirai, который совмещает функции сканирования, заражения и организации DDoS-атак, основная цель RondoDox - создание сети для проведения атак на отказ в обслуживании (DoS). После успешного взлома устройства вредоносный скрипт, не оставляя следов на диске, загружает и запускает исполняемый файл, соответствующий архитектуре жертвы - всего поддерживается 18 различных архитектур, от распространенных x86_64 и ARM до более экзотических. Полезная нагрузка также включает майнер криптовалюты XMRig и механизмы закрепления в системе.

Одной из самых необычных черт RondoDox стал необычно широкий арсенал эксплойтов. За период наблюдения с мая 2025 по февраль 2026 года исследователи задокументировали использование 174 различных уязвимостей для заражения устройств. Из них 148 были сопоставлены с идентификаторами CVE, для 15 существовали публичные доказательства концепции (PoC) без присвоенного CVE, а 11 не удалось однозначно идентифицировать. Изначально операторы ботнета использовали тактику «дробовика», одновременно отправляя на одну цель множество эксплойтов для разных уязвимостей в надежде, что хотя бы один сработает. Однако со временем стратегия изменилась. Если в октябре 2025 года в один день могло использоваться до 49 разных уязвимостей, то к началу 2026 года их число резко сократилось до двух. Это указывает на переход к более целенаправленному и осмысленному отбору наиболее эффективных векторов атаки.

Примечательно, что операторы RondoDox демонстрируют высокую осведомленность о новейших угрозах. Они активно следят за публикациями об уязвимостях и быстро интегрируют свежие эксплойты в свой арсенал, зачастую в течение нескольких дней или даже недель после раскрытия информации. В одном случае, с CVE-2025-62593, эксплуатация началась ещё до официальной публикации бюллетеня CVE, что говорит о мониторинге предварительных исследований и PoC. Однако парадоксальным образом эта техническая подкованность сочетается с ошибками в реализации. Например, в эксплойте для CVE-2025-62593 разработчики ботнета некорректно указали строку User-Agent, что, согласно описанию уязвимости, автоматически блокирует атаку. Аналогичные проблемы наблюдались и с другими эксплойтами, где отсутствовали необходимые последовательности запросов. Это создает противоречивый портрет злоумышленников: с одной стороны, они проявляют оперативность, с другой - допускают досадные промахи на этапе внедрения.

Инфраструктура ботнета тщательно сегментирована и демонстрирует признаки использования скомпрометированных систем. Исследователи выделили три типа инфраструктуры: взламывающую (exploiting), размещения (hosting) и командных серверов (C2). Взламывающая инфраструктура, состоящая из 16 IP-адресов, размещалась исключительно у хостинг-провайдеров, принимающих криптовалюты, включая печально известный сервис 1337 Services GmbH. А вот серверы для размещения скриптов и бинарных файлов часто находились на резидентных IP-адресах, принадлежащих интернет-провайдерам по всему миру. Анализ этих адресов с помощью набора данных Groma показал, что некоторые из них в разное время предоставляли доступ к интерфейсам систем умного дома, таких как UniFi Protect или Control4. Это, а также нестабильная доступность самих хостинг-серверов RondoDox, наводит на мысль, что злоумышленники используют взломанные устройства в частных сетях в качестве прокси-серверов или точек распространения вредоносного кода. Подробный отчёт исследователей включает детальный разбор этой инфраструктуры, включая временные линии активности. Для защиты от анализа операторы также реализовали механизм чёрного списка IP-адресов: при обращении с «заблокированного» адреса веб-сервер возвращает обманную страницу с видеоплеером, что затрудняет автоматическое извлечение полезной нагрузки.

Защита от таких угроз, как RondoDox, требует комплексного подхода, поскольку не существует единого универсального решения. Ключевым элементом является управление экспозицией - постоянный мониторинг и минимизация поверхности атаки. Необходимо своевременно обновлять прошивки IoT-устройств и программное обеспечение сервисов, доступных из интернета, изменять стандартные учётные данные, отключать неиспользуемые функции и службы. Сетевые экраны должны блокировать все неиспользуемые порты, а сегментация сети может ограничить перемещение злоумышленника в случае компрометации одного из устройств. Мониторинг сетевой активности на предмет аномальных исходящих соединений, особенно на нестандартные порты, может помочь в обнаружении уже заражённых систем. Эволюция RondoDox от бессистемного сканирования к фокусировке на новых уязвимостях - это тревожный сигнал для специалистов по информационной безопасности. Он подчёркивает, что скорость реакции на инциденты и патч-менеджмент становятся критически важными в условиях, когда злоумышленники начинают действовать быстрее многих команд ИБ.

IPv4

• 124.198.131.83
• 135.148.68.54
• 14.103.145.202
• 14.103.145.211
• 154.91.254.95
• 169.255.72.169
• 192.159.99.95
• 192.183.232.142
• 192.253.248.5
• 193.26.115.178
• 193.26.115.195
• 23.228.188.126
• 37.32.15.8
• 38.59.219.27
• 41.231.37.153
• 45.125.66.100
• 45.135.194.11
• 45.135.194.32
• 45.135.194.34
• 45.153.34.156
• 45.156.87.165
• 45.8.145.203
• 45.88.186.32
• 45.88.186.85
• 45.92.1.50
• 45.94.31.201
• 45.94.31.89
• 70.184.13.47
• 74.194.191.52
• 78.153.149.90
• 83.150.218.93
• 83.252.42.112
• 87.121.84.132
• 87.121.84.31
• 87.121.84.75
• 99.241.94.234