Исследователи кибербезопасности выявили значительную эволюцию ботнета RondoDox, который демонстрирует беспрецедентное расширение возможностей по сравнению с первоначальной версией, задокументированной FortiGuard Labs в сентябре 2024 года. Новая версия RondoDox v2, обнаруженная с помощью системы honeypot-мониторинга Beelzebub, использует более 75 векторов эксплуатации уязвимостей, что представляет серьезную угрозу для корпоративных сетей и устройств Интернета вещей.
Описание
30 октября 2025 года в 13:44 по UTC исследовательский honeypot начал получать автоматизированные попытки эксплуатации с IP-адреса 124.198.131[.]83 из Новой Зеландии. Атака сразу привлекла внимание специалистов: более 75 различных эксплойт-полезных нагрузок последовательно нацеливались на уязвимости маршрутизаторов и IoT-устройств. Во всех случаях злоумышленники пытались загрузить вредоносные скрипты с адреса http://74.194.191[.]52/rondo.[variant].sh, оставляя сигнатуру bang2013@atomicmail.io в строках User-Agent.
Сравнительный анализ версий показывает драматические изменения в инфраструктуре и технических возможностях ботнета. Если первоначальная версия RondoDox v1 использовала всего два вектора атаки, нацеленные на уязвимости TBK DVR (CVE-2024-3721) и маршрутизаторов Four-Faith (CVE-2024-12856), то новая версия демонстрирует экспансию на 650% с поддержкой более 75 различных эксплойтов.
Техническая эволюция включает расширение целевой экосистемы от специализированных DVR-систем и маршрутизаторов до корпоративных приложений. Среди новых целей значатся продукты D-Link, Netgear, ZyXEL, Billion, Dasan, TP-Link, Apache HTTP Server и многие другие. Особую озабоченность вызывает включение в арсенал уязвимостей уровня Shellshock (CVE-2014-6271) и WebLogic (CVE-2017-10271), что указывает на растущую изощренность операторов ботнета.
Инфраструктура управления и контроля претерпела существенные изменения. Вместо единственного C&C-сервера в версии v1 (83.150.218[.]93) теперь используется распределенная сеть из компрометированных резидентных IP-адресов: 74.194.191[.]52, 38.59.219[.]27, 83.252.42[.]112. Контактный email также сменился с vanillabotnet[@]protonmail[.]com на bang2013[@]atomicmail[.]io.
Технический анализ dropper-скрипта выявил несколько ключевых поведенческих особенностей. Скрипт активно устраняет конкурентов, завершая процессы существующего вредоносного ПО, включая xmrig, redtail и другие ботнеты. Для обхода систем безопасности отключаются SELinux и AppArmor, а архитектурное обнаружение пытается выполнить 16 различных бинарных файлов до достижения успеха. Особенностью является анти-сандбокс механизм: скрипт завершает работу при получении сигнала SIGKILL (137), что позволяет обнаруживать автоматический анализ.
Бинарный анализ основного исполняемого файла rondo.x86_64 показал, что это статически связанный ELF 64-битный исполняемый файл с удаленными символами. Мalware использует XOR-кодирование с ключом 0x21 для конфигурационных данных, скрывая строки, связанные с C&C-протоколом, DDoS-возможностями и анти-отладочными механизмами.
C&C-протокол использует кастомную бинарную схему связи с инициализацией "handshake", а для маскировки трафика применяется спуфинг User-Agent под iPhone iOS 18.5. Ботнет демонстрирует развитые DDoS-возможности, включая HTTP-флуд, UDP raw sockets и TCP SYN flood, с имитацией легитимного игрового трафика и протоколов OpenVPN, WireGuard.
Примеры эксплуатации, зафиксированные honeypot, показывают разнообразие техник атаки. Командные инъекции в маршрутизаторы, SOAP-инъекции в WebLogic через CVE-2017-10271 и эксплуатация уязвимости Shellshock через User-Agent демонстрируют методичный подход к компрометации разнородных систем.
Эксперты отмечают, что расширение векторов атаки на 650% значительно увеличивает поверхность атаки для организаций любого размера. Переход от узкоспециализированной атаки на DVR-системы к массовой эксплуатации корпоративных и потребительских устройств делает RondoDox v2 серьезной угрозой, требующей незамедлительных мер по обнаружению и блокированию.
Для противодействия угрозе специалисты рекомендуют обновить системы обнаружения вторжений, применить предоставленные индикаторы компрометации и усилить мониторинг сетевой активности на предмет подозрительных соединений с указанными C&C-серверами. Особое внимание следует уделить устройствам, перечисленным в целевых векторах атаки, и обеспечить своевременное применение патчей для известных уязвимостей.
Индикаторы компрометации
IPv4
- 124.198.131.83
- 38.59.219.27
- 74.194.191.52
- 83.252.42.112
IPv4 Port Combinations
- 74.194.191.52:345
URLs
- http://74.194.191.52/rondo.[arch].sh
- http://74.194.191.52/rondo.armv7l
- http://74.194.191.52/rondo.mips
- http://74.194.191.52/rondo.qre.sh
- http://74.194.191.52/rondo.x86_64
Emails
- bang2013@atomicmail.io
MD5
- 0d54448fe3c9b048c6d48c6ee2f6f936
SHA256
- 691e4ec280aaff33270f33a9bb48a3fc38e2bd91c7359e687e3f0bd682f20b54
