サイバーニュース.jp

世界のサイバーなニュースを配信

RondoDoxボットネット、50以上の脆弱性を悪用しルーター、CCTVシステム、Webサーバーを標的に

カテゴリ:

, , , , , , , , ,

RondoDoxボットネットの脅威が拡大

RondoDoxボットネットは、ルーター、CCTVシステム、Webサーバーを標的とし、50以上の脆弱性を悪用してシステムを侵害しています。このキャンペーンは「エクスプロイト・ショットガン」と呼ばれる手法を用い、30以上のベンダーにわたる多数の脆弱性を悪用してネットワークデバイスへの侵入を試みており、迅速なパッチ適用と継続的な監視の緊急性を浮き彫りにしています。

初期の侵入とCVE-2023-1389

RondoDoxによる最初の侵入は2025年6月15日に検出されました。この攻撃では、Pwn2Own Toronto 2022で開示されたコマンドインジェクションの脆弱性であるCVE-2023-1389が再利用されました。この脆弱性はTP-Link Archer AX21ルーターのWANインターフェースを標的とするもので、開示後すぐにMiraiキャンペーンで悪用された経緯があります。これは、セキュリティコンテストで公開された概念実証(PoC)コードが、いかに迅速にボットネットのツールキットに組み込まれるかを示しています。

RondoDoxの攻撃者は、以下のようなPoCコマンドを使用してシェルを注入し、マルチアーキテクチャのペイロードをドロップしました。

  • curl -X POST http://TARGET/cgi-bin/apply.cgi -d 'action=ping&ping_ip=8.8.8.8;chmod 777 /tmp/sh;sh /tmp/sh'

Trend Vision One®の顧客は、このパッチリリース以来、CVE-2023-1389から保護されています。

多角的な「エクスプロイト・ショットガン」アプローチ

RondoDoxは当初、TBK DVR(CVE-2024-3721)とFour-Faithルーター(CVE-2024-12856)に焦点を当てていましたが、その攻撃対象を拡大し、現在では56の脆弱性(追跡されているCVEが38件、未文書化の脆弱性が18件)を悪用しています。これには、コマンドインジェクション(CWE-78)、パストラバーサル(CWE-22)、バッファオーバーフロー(CWE-120)、認証バイパス(CWE-287)、メモリ破損(CWE-119)などが含まれます。

主な標的ベンダーには、D-Link、Netgear、Linksys、QNAP、Tenda、ZyXELなどが挙げられます。新たに観測された複数のCVEはCISAの既知の悪用済み脆弱性(KEV)カタログに追加されており、防御側にとっての緊急性が高まっています。

Loader-as-a-Serviceモデルによる複雑化

このキャンペーンの「Loader-as-a-Service」モデルは、RondoDoxをMirai/Morteペイロードと組み合わせて提供し、検出と修復を困難にするローテーションインフラを構築しています。

プロアクティブな防御戦略

RondoDoxの事例は、公開から大規模な悪用までの期間が縮小していることを示しています。責任ある開示が行われた脆弱性でさえ、迅速にボットネットの武器となります。インターネットに公開されているルーター、DVR、NVR、CCTVシステム、その他のネットワークエッジデバイスを管理する組織は、プロアクティブなセキュリティ体制を採用する必要があります。

推奨される防御策は以下の通りです。

  • 定期的な脆弱性評価と資産インベントリ:古いファームウェアやパッチが適用されていないエンドポイントを特定するために不可欠です。
  • ネットワークセグメンテーション:重要なシステムを隔離し、水平移動を制限します。
  • 継続的な監視と脅威ハンティング#!/bin/shのようなプロセスコマンドや、bang2012@protonmail.comのような疑わしいユーザーエージェントを検索することで、RondoDoxの活動を早期に検出できます。

侵害の痕跡(IoC)

防御を支援するためのIoC(Indicators of Compromise)の一部を以下に示します。

  • 疑わしいプロセスコマンド#!/bin/sh AND chmod 777
  • 悪意のあるユーザーエージェント*bang2012@protonmail.com*
  • ローダードメインパターンrondo.
  • 一般的なメールアドレスbang2012@protonmail.com, makenoise@tutanota.de
  • エクスプロイトパスシグネチャ/cgi-bin/apply.cgi

Trend Vision One™ Threat Insightsの顧客は、シェルコマンドとローダーパターンの組み合わせを検出するルールZTH_Malware_RondoDox_Loader_Aや、メールベースのインジケーターを検出するZTH_Malware_RondoDox_Emailなどの組み込み検出機能を活用できます。

結論

RondoDoxボットネットは、迅速なパッチ展開、綿密な資産管理、そして継続的な監視の重要性を強調しています。エクスプロイト手法が多様化する中、防御側はパッチ適用ワークフローの自動化、セグメンテーションの維持、早期の侵害兆候のハンティングを通じて、脆弱性の窓を縮小する必要があります。プロアクティブな戦略とTrend Vision One™のようなAIを活用したプラットフォームにより、組織は進化する多角的な脅威に先手を打つことができます。

元記事: https://gbhackers.com/rondodox-botnet/

投稿をさらに読み込む