СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Артем
14.10.2025
#ИБ#Инфра#Облака

Trend Micro: ботнет RondoDox использует более 50 уязвимостей у 30+ производителей сетевого оборудования

Trend Micro: ботнет RondoDox использует более 50 уязвимостей у 30 производителей сетевого оборудования

изображение: recraft

В новом отчёте компании Trend Micro говорится о масштабной вредоносной кампании, в рамках которой ботнет RondoDox задействует более 50 уязвимостей в продуктах свыше 30 поставщиков. Специалисты описали эту активность как «шотландский эксплойт» — с намёком на разбросанную и агрессивную тактику атак на разные типы устройств.

Анализ выявил, что вектор угроз охватывает маршрутизаторы, DVR и NVR-системы, веб-серверы, IP-камеры и множество других устройств, подключённых к Интернету. Впервые попытка вторжения была зафиксирована 15 июня 2025 года, когда злоумышленники атаковали маршрутизаторы TP-Link Archer, используя уязвимость CVE-2023-1389. Эта уязвимость активно эксплуатируется с конца 2022 года.

RondoDox впервые описали аналитики Fortinet в июле 2025 года. Тогда ботнет применялся для создания DDoS-атаки с использованием устройств TBK и Four-Faith. Новые исследования показывают, что ботнет получил поддержку через инфраструктуру «загрузчик как услуга», что упростило его распространение и позволило объединять с другими вредоносными программами (в частности, Mirai и Morte).

Из 56 эксплуатируемых уязвимостей 18 не имеют CVE-идентификаторов, что делает их особенно трудными для отслеживания. В отчёте перечислены бренды, чья продукция используется злоумышленниками: D-Link, NETGEAR, QNAP, Apache, Cisco, Tenda, Zyxel, Linksys, Edimax, TVT, LILIN, Belkin, TOTOLINK, Ricon, Meteobridge, Digiever, Dasan, LB-LINK, IQrouter и др.

По данным CloudSEK, RondoDox участвует в более широкой бот-сети, распространяемой через SOHO-маршрутизаторы, IoT-устройства и корпоративные приложения. Атаки используют устаревшие уязвимости, небезопасные конфигурации и слабые логины.

Исследователи подчёркивают, что RondoDox больше не ограничивается единичными целями, а превращается в универсальный ботнет для многоступенчатых кампаний. Функциональность «загрузчика» даёт возможность подгружать разные типы вредоносных файлов, масштабировать атаки и выполнять их синхронно по множеству направлений.

На фоне активности RondoDox в отчёте также упоминается другой крупный ботнет — AISURU, использующий IoT-устройства у провайдеров AT&T, Comcast и Verizon. Аналитики связывают его с бразильским оператором под псевдонимом Forky и сервисом Botshield, продвигаемым как средство защиты от DDoS, но на деле используемым для организации самих атак.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: