Киберпреступники активно используют уязвимости IoT-устройств для распространения вредоносного ПО RondoDox

Кампания была впервые зафиксирована 15 июля текущего года и продолжает набирать обороты. Особенностью данной угрозы является многоэтапная архитектура атаки. Первоначально выполняется shell-скрипт, который подготавливает систему для загрузки основного вредоносного модуля. Интересно, что злоумышленники используют ограниченный набор IP-адресов для распространения, причем большинство из них принадлежат телекоммуникационным компаниям, предоставляющим услуги населению.

Анализ инфраструктуры показал, что основным распределительным узлом в последние месяцы стал адрес 74.194.191[.]52, на который приходится более 5000 инцидентов. Примечательно, что злоумышленники периодически реактивируют старые IP-адреса, что может свидетельствовать о хорошо продуманной стратегии сохранения работоспособности инфраструктуры.

Второй этап атаки представляет собой набор исполняемых файлов для различных архитектур процессоров, включая ARM, MIPS, x86 и другие. Это позволяет вредоносной программе работать практически на любом IoT-устройстве. Все файлы названы по шаблону "rondo" с указанием архитектуры, что упрощает их идентификацию.

Первоначальный скрипт демонстрирует высокую степень адаптации к целевой системе. Он последовательно проверяет наличие различных инструментов загрузки, включая wget, curl и busybox. Кроме того, скрипт активно пытается обнаружить и удалить следы предыдущих заражений, а также отключает системы безопасности, такие как SELinux и AppArmor.

Особого внимания заслуживает перечень эксплуатируемых уязвимостей. Среди них присутствуют как давно известные, так и недавно обнаруженные уязвимости в оборудовании различных производителей. Например, CVE-2023-1389 в маршрутизаторах TP-Link Archer AX21 позволяет выполнять произвольные команды без аутентификации. Уязвимость CVE-2025-34043 в сетевых видеорегистраторах Vacron также представляет серьезную угрозу.

Эксперты отмечают, что многие из этих уязвимостей связаны с инъекцией команд через веб-интерфейсы устройств. Это подчеркивает важность своевременного обновления прошивок и изменения стандартных паролей. Особенно учитывая, что некоторые уязвимости позволяют злоумышленникам получать полный контроль над устройством без необходимости аутентификации.

Кампания демонстрирует растущую тенденцию к целенаправленным атакам на IoT-инфраструктуру. Использование скомпрометированных резидентных IP-адресов усложняет обнаружение и блокировку вредоносной активности. Кроме того, многообразие целевых архитектур свидетельствует о стремлении злоумышленников максимизировать охват потенциальных жертв.

Специалисты рекомендуют организациям и частным пользователям уделять особое внимание безопасности сетевых устройств. Регулярное обновление прошивок, отключение неиспользуемых сервисов и мониторинг сетевой активности могут значительно снизить риск заражения. Также важно использовать сложные уникальные пароли и при возможности ограничивать доступ к административным интерфейсам из внешних сетей.

Обнаруженная кампания наглядно демонстрирует, что IoT-устройства остаются привлекательной мишенью для киберпреступников. Сочетание устаревшего программного обеспечения, слабой конфигурации безопасности и длительного жизненного цикла делает эту категорию оборудования особенно уязвимой для современных угроз.

IPv4

• 192.183.232.142
• 38.59.219.27
• 74.194.191.52
• 83.252.42.112

SHA256

• 032d7b946259add6db097d3ee4375caffe2c7dcf7da81e72c32eaa24b3bde164
• 17be568b6b2acb3b237c6dc81b3692976bb83eea76a7a26fd405805d34901016
• 2af74246497c671cc9976cd9919fdc4beaa459e9b4b30a42f561b45919da950b
• 3852442d56b08eabb8060f6b72234ff0a5400b89dddf31560b2dc5d8b16c29fa
• 3a4afea2c16905816b922229dc5d03311d58c470fa4580dcd9248302bcdfbdc4
• 470a74b888617299820acbe2daf03001eca7dc64a7002cd00beb163b3663187e
• 5cbe0f93c03b04b6100545448fee6db2a032a7cb13be45421d4ab377d1f88bf6
• 69a17194dba061f56ec3a23debfa1d3fdee7dd92789af17038387b294093aa5d
• 81200976b8717c340041eee6ff051e1a87f8f73d86a9e17465b34be4c9488839
• 8634f53097f511dd1b7c253a0fbc4bc468e3ee38abd0490a39dd92edaee905de
• a65e3438103d31ccb213083b2b6ef40b558580b4246251b558fc68e6a2a2ba92
• c789f239a9cf039752e3926ee3b4387b3f6a1f6657531277caebf90685b018a2
• c987e85b19c6462b06615a61998618c0e7d22ac5e38034e53ef0e34bd452464d
• cf7a5027a0e562b7749c8025c0394bc3c3208b7b5ce070dcd15787450332efa8
• df9f756f355d1122e46ce12bb84553c89cdab71c6402a257b78bc768578f51c7
• e683864f4016b24b164ebaa5d900963b730a1df45bcbf9fa947b644d673dbc21
• f0a73797caa35d4d62a23358fa8102d6c434cfc5177623d5dfd2a3efaff66aae
• f11ede0c682e818357943a166239867a19b0c1d321e84213e28e21beb2c49c87