RondoDox: новый ботнет, эксплуатирующий критические уязвимости 2024 года
Новый ботнет RondoDox: сложная угроза для кибербезопасности
Недавно обнаруженный ботнет RondoDox стал серьезной угрозой в сфере кибербезопасности. По информации лаборатории FortiGuard, наблюдается заметное увеличение активности сканирования, связанной с этим ботнетом, использующим две критические уязвимости: CVE-2024-3721 и CVE-2024-12856.
Уязвимости и эксплуатируемые устройства
Первая уязвимость (CVE-2024-3721) затрагивает модели видеорегистраторов TBK, позволяя удалённым злоумышленникам выполнять команды, манипулируя параметрами в путях ответа системы. Вторая (CVE-2024-12856) воздействует на модели маршрутизаторов Four-Faith и даёт возможность аналогичного выполнения команд через HTTP-интерфейс.
Обе уязвимости были публично раскрыты и активно эксплуатируются злоумышленниками, что приводит к существенным угрозам безопасности.
Особенности ботнета RondoDox
В отличие от известных ботнетов, таких как Mirai, RondoDox характеризуется меньшей заметностью, но сложностью и применением современных методов уклонения от обнаружения. Первоначально вредоносная программа была ориентирована на операционные системы с архитектурами ARM и MIPS, но впоследствии охватила и такие платформы, как Intel 80386 и x86-64.
Механизмы заражения и действия вредоносной программы
- Доставка вредоносного программного обеспечения происходит через командный скрипт, который настраивает систему на игнорирование определённых сигналов и проверяет доступные пути для установки.
- После установки ботнет создаёт библиотеку в каталоге
/tmpдля загрузки основной вредоносной программы и скрывает своё присутствие, удаляя историю выполнения команд. - Для конфигурационных данных применяется элементарная схема обфускации XOR с заданным шестнадцатеричным ключом, что позволяет хранить важные данные, включая пути к файлам, в зашифрованном виде.
После запуска вредоносная программа сохраняет работоспособность, изменяя права доступа к файлам и создавая символические ссылки. Для обеспечения устойчивости в системе RondoDox добавляет команды к системным файлам запуска и задачам crontab, создавая множественные точки восстановления после перезагрузки.
Тактики уклонения и вредоносное поведение
- Применение антианалитических методов: сканирование средств безопасности и конкурирующих вредоносных программ с последующим их завершением.
- Нарушение нормальной работы системы путём переименования исполняемых файлов случайными символьными строками, что снижает стабильность и препятствует анализу.
- Маскировка командно-контрольной (C2) связи путем эмуляции легитимного сетевого трафика, имитируя популярные игровые и чат-приложения, что усложняет её обнаружение и блокировку.
Возможности атак и масштаб угрозы
RondoDox обладает значительным потенциалом для проведения распределённых атак типа отказа в обслуживании (DDoS) по различным протоколам:
- HTTP
- UDP
- TCP
Учитывая широкий спектр атакуемых архитектур и сложность внедрения, данный ботнет может представлять серьёзную опасность для корпоративной и частной инфраструктуры.
Итог: Растущая активность RondoDox и эксплуатируемые критические уязвимости требуют усиленного внимания со стороны специалистов по кибербезопасности. Организациям рекомендуется оперативно проверять наличие данных уязвимостей и предпринимать необходимые меры защиты.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
