Сентябрь 2024 года стал моментом обнаружения RondoDox — нового ботнета, специализирующегося на DDoS-атаках. Его мишени — уязвимые IoT-устройства в критических инфраструктурах: DVR-системы TBK (модели DVR-4104, DVR-4216) и маршрутизаторы Four-Faith (F3x24, F3x36). Эти приборы массово развернуты в розничных сетях, складах и офисах, часто оставаясь без мониторинга годами.
Злоумышленники эксплуатируют две известные уязвимости. CVE-2024-3721 (средней опасности) позволяет внедрять команды в DVR TBK, а CVE-2024-12856 — аналогично атакует маршрутизаторы Four-Faith. Оба CVE ранее использовались ботнетом Mirai, что упростило их адаптацию под RondoDox. Устройства особенно уязвимы из-за прошивок с истекшим сроком поддержки, открытых портов и прямого доступа в интернет.
Заражение начинается со скрипта-загрузчика, обходящего сигналы завершения (SIGINT, SIGQUIT, SIGTERM). Он ищет доступные для записи пути вроде
Ключевая тактика — саботаж восстановления. Ботнет сканирует системные директории (
Для связи RondoDox использует сервер 83.150.218[.]93, получая команды на запуск DDoS через HTTP, UDP и TCP. Его трафик мимикрирует под легитимные сервисы: Valve, Minecraft, Roblox, Fortnite, Discord, OpenVPN и WireGuard. Такая маскировка под игровые платформы и VPN затрудняет обнаружение.
Уникальная черта — использование зараженных устройств как скрытых прокси. Это позволяет маскировать C2-трафик, проводить многоуровневые мошеннические схемы и усиливать DDoS-атаки по найму, объединяя финансовые преступления с подрывом инфраструктуры.
По словам Винсента Ли (Vincent Li), исследователя Fortinet FortiGuard Labs: «RondoDox — изощренная и набирающая силу угроза, применяющая продвинутые техники уклонения. Это обеспечивает ей долгосрочное присутствие в системах без обнаружения». Ботнет использует XOR-шифрование конфигураций, собственные библиотеки и DoH (DNS-over-HTTPS) для скрытного разрешения доменов, следуя трендам RustoBot и Mozi.
Изображение носит иллюстративный характер
Злоумышленники эксплуатируют две известные уязвимости. CVE-2024-3721 (средней опасности) позволяет внедрять команды в DVR TBK, а CVE-2024-12856 — аналогично атакует маршрутизаторы Four-Faith. Оба CVE ранее использовались ботнетом Mirai, что упростило их адаптацию под RondoDox. Устройства особенно уязвимы из-за прошивок с истекшим сроком поддержки, открытых портов и прямого доступа в интернет.
Заражение начинается со скрипта-загрузчика, обходящего сигналы завершения (SIGINT, SIGQUIT, SIGTERM). Он ищет доступные для записи пути вроде
/dev/shm или /var/tmp, после чего скачивает и запускает основной вредоносный код. Для маскировки RondoDox стирает историю команд и принудительно завершает процессы конкурентных угроз: криптомайнеров, Redtail, а также сетевых (wget, curl) и аналитических утилит (Wireshark, gdb). Ключевая тактика — саботаж восстановления. Ботнет сканирует системные директории (
/usr/bin, /sbin) и переименовывает критичные утилиты в случайные строки: iptables становится jsuJpf, ufw — nqqbsc, а reboot превращается в gaajct. Это блокирует администрирование и сброс устройств. Для связи RondoDox использует сервер 83.150.218[.]93, получая команды на запуск DDoS через HTTP, UDP и TCP. Его трафик мимикрирует под легитимные сервисы: Valve, Minecraft, Roblox, Fortnite, Discord, OpenVPN и WireGuard. Такая маскировка под игровые платформы и VPN затрудняет обнаружение.
Уникальная черта — использование зараженных устройств как скрытых прокси. Это позволяет маскировать C2-трафик, проводить многоуровневые мошеннические схемы и усиливать DDoS-атаки по найму, объединяя финансовые преступления с подрывом инфраструктуры.
По словам Винсента Ли (Vincent Li), исследователя Fortinet FortiGuard Labs: «RondoDox — изощренная и набирающая силу угроза, применяющая продвинутые техники уклонения. Это обеспечивает ей долгосрочное присутствие в системах без обнаружения». Ботнет использует XOR-шифрование конфигураций, собственные библиотеки и DoH (DNS-over-HTTPS) для скрытного разрешения доменов, следуя трендам RustoBot и Mozi.
