RondoDox Botnetの概要
RondoDoxは、Miraiスタイルのボットネットであり、急速に進化し、174の脆弱性を連鎖的に悪用する高度な自動化された攻撃エンジンとなっています。このボットネットは、多くのベンダーがデバイスを出荷する際に脆弱なセキュリティ制御と不十分なパッチ管理を引き続き採用していることから、世界中の攻撃対象面を大幅に拡大しています。
脆弱性の悪用とボットネットの成長
このボットネットは、2025年5月に初めて観測され、その後急速に成長し、 honeypot ログを支配するようになりました。RondoDoxは、Miraiの構築ブロックを再利用しながら、主にDoS攻撃を実行することを目的としています。スキャンと悪用は、感染したボットではなく、専用のインフラストラクチャで処理されます。
感染と展開のメカニズム
感染は、外部のスキャナがインターネットに公開されたデバイスのリモートコード実行問題を発見したときに始まります。成功した悪用は、RondoDoxインフラストラクチャからシェルスクリプトを取得し、メモリ内で実行して、基本的な検出を回避します。その後、単純な防御を無効化し、競合するマルウェアを殺し、書き込み可能なパスを特定し、最後に適切なボットバイナリをダウンロードします。
コマンド・アンド・コントロール(C2)インフラストラクチャ
RondoDoxのオペレーターは、暗号化されたIPアドレスを含むサンプル内でC2サーバーをホストします。これらのIPアドレスは、OVH、YORKHOST、1337 Services GmbH、Serverofferなどのプロバイダーによって提供されています。
脆弱性の利用戦略の進化
2025年5月から2026年2月まで、RondoDoxは174の異なる脆弱性を循環させました。これらの脆弱性の多くは、公開された証明概念コードやアドバイザリに基づいています。しかし、攻撃者は新しい脆弱性を迅速にテストし、効果がないと判断された脆弱性はすぐに放棄します。
結論
RondoDoxは、脆弱性を悪用して迅速に拡大する能力を持っています。このボットネットは、IoTデバイスの脆弱性を悪用し、世界中の攻撃対象面を拡大しています。セキュリティ専門家は、この脅威に対処するために、デバイスのセキュリティを強化し、脆弱性を迅速に修正する必要があります。