11/11/25
Исходная версия, описанная осенью 2024 года, использовала лишь пару уязвимостей в устройствах видеонаблюдения и маршрутизаторах. Вторая итерация RondoDox v2 задействует уже более 75 различных эксплойтов и расширяет целевую аудиторию с сегмента IoT до корпоративных приложений. Это делает вредоносную сеть значительно опаснее и универсальнее, согласно Securitylab.
Анализ активности, зафиксированной с помощью ловушек, показал автоматические попытки атак с IP-адреса из Новой Зеландии. За короткое время было отправлено более семидесяти различных полезных нагрузок, все они предназначались для эксплуатации уязвимостей в маршрутизаторах и других устройствах с доступом к интернету. Заражение начиналось с загрузки шелл-скрипта с удалённого ресурса, после чего следовала установка двоичного файла, адаптированного под архитектуру целевой системы.
Особенность новой волны атак в том, что она полагается на многоступенчатую цепочку: от выбора правильной архитектуры и принудительной выгрузки конкурирующих вредоносных процессов до отключения защитных механизмов вроде SELinux и AppArmor. В качестве средства устойчивости к перезапуску используется cron-задание, срабатывающее при загрузке системы. Управление заражёнными устройствами происходит через несколько серверов на скомпрометированных IP-адресах, зарегистрированных на домашние подключения. Это затрудняет отслеживание и блокировку командных центров.
Ботнет использует XOR-шифрование конфигурационных данных, скрывает активность под обычными HTTP-запросами с User-Agent, имитирующими мобильные устройства, и обладает широким набором функций для проведения DDoS-атак. Среди них — HTTP-флуд с подделкой игрового трафика, атаки через UDP и SYN-флуды, а также имитация протоколов популярных сервисов и игр.
Файл дроппера содержит код, предназначенный для удаления других вредоносных программ, очистки временных каталогов, создания рабочей директории и загрузки подходящего исполняемого файла. Учитываются десятки архитектурных вариантов, включая x86, ARM, MIPS, PowerPC и другие. В каждом случае выполняется проверка успешности запуска — если двоичный файл завершает работу с определённым кодом, заражение прекращается.
По версии специалистов, новая версия ботнета использует открытые данные и почтовый адрес bang2013[@]atomicmail[.]io в коде, в HTTP-заголовках и внутри файлов на жёстком диске. Это позволяет отследить кампанию по множеству признаков: от сетевых индикаторов до содержимого каталогов и названий процессов. Ряд правил для Snort, Suricata и YARA уже опубликован.
