RondoDox botnet’in sofistike bir evrimi, istismar yeteneklerinde %650’lik şaşırtıcı bir artışla ortaya çıktı; bu, hem kurumsal hem de IoT altyapısı için tehdit ortamında önemli bir artışa işaret ediyor.
İlk olarak Eylül 2024’te FortiGuard Labs tarafından belgelenen orijinal RondoDox çeşidi, yalnızca iki yararlanma vektörüne sahip DVR sistemlerine dar anlamda odaklandı.
Ancak yeni keşfedilen RondoDox v2, eski yönlendiricilerden modern kurumsal uygulamalara kadar her şeyi hedef alan 75’ten fazla farklı istismar vektörüyle çarpıcı bir genişleme sergiliyor.
Bu evrim, botnet geliştirme stratejisinde temel bir değişimi temsil ediyor ve fırsatçı IoT kullanımı ile hedeflenen kurumsal uzlaşma arasındaki boşluğu kapatıyor.
Kötü amaçlı yazılım, araştırma altyapısının Yeni Zelanda menşeli 124.198.131.83 IP adresinden otomatik yararlanma girişimleri almaya başladığı 30 Ekim 2025’te bal küpü telemetrisi aracılığıyla tespit edildi.
Saldırı modeli, hacmi ve karmaşıklığıyla hemen fark edildi ve 75 farklı istismar yükünü hızlı bir şekilde art arda dağıttı.
Her veri, yönlendirici ve IoT güvenlik açıklarını hedefleyen komut enjeksiyon vektörlerini denedi; tüm veriler, 74.194.191.52’deki komut ve kontrol sunucusundan kötü amaçlı komut dosyaları indiriyordu.
Alışılmadık bir şekilde, tehdit aktörü açık bir atıf imzası yerleştirdi:[email protected]— doğrudan Kullanıcı Aracısı dizelerine, genellikle botnet operatörleri tarafından kullanılan anonim operasyonel güvenlikten bir sapmayı işaret eder.
Beelzebub analistleri, kötü amaçlı yazılımı, tüm saldırı zincirini yakalayan ve botnet’in yeteneklerinin kapsamlı teknik analizine olanak tanıyan yapay zekaya dayalı aldatma platformları aracılığıyla tespit etti.
RondoDox v2, birden fazla tedarikçi ekosistemini kapsayan ve on yılı aşkın CVE geçmişini kapsayan geniş bir yelpazedeki savunmasız cihazları hedefler.
Bu istismar cephaneliği, CVE-2014-6271 (Shellshock), CVE-2018-10561 (Dasan GPON yönlendiricileri), CVE-2021-41773 (Apache HTTP Sunucusu) ve CVE-2024-3721 (TBK DVR sistemleri) gibi kritik güvenlik açıklarını içerir.
Kötü amaçlı yazılım, x86_64, çoklu ARM varyantları, MIPS, PowerPC ve hatta m68k ve SPARC gibi eski mimariler dahil olmak üzere mimariye özgü 16 ikili dosyayı dağıtarak platformlar arası esneklik sergiliyor.
Bu kapsamlı mimari desteği, çeşitli yerleşik sistemler ve kurumsal sunucular arasında maksimum enfeksiyon potansiyeli sağlar.
Komuta ve kontrol altyapısı, birden fazla ASN’ye dağıtılan, güvenliği ihlal edilmiş konut IP adresleri üzerinde çalışarak, geleneksel engelleme stratejilerini daha az etkili hale getiren esneklik ve kaçınma yetenekleri sağlar.
Teknik Altyapı ve Gizleme Mekanizmaları
RondoDox v2 tarafından kullanılan bırakma komut dosyası, güvenlik kontrollerini atlamak ve rakip kötü amaçlı yazılımları ortadan kaldırmak için tasarlanmış gelişmiş kaçınma ve kalıcılık tekniklerini sergiliyor.
Çalıştırıldıktan sonra komut dosyası, aşağıdaki gibi komutları kullanarak SELinux ve AppArmor güvenlik çerçevelerini anında devre dışı bırakır. setenforce 0 Ve service apparmor stopkötü niyetli faaliyetlere elverişli bir ortam yaratmak.
Komut dosyası daha sonra agresif rakipleri ortadan kaldırarak, xmrig gibi kripto para birimi madencileriyle ve redtail dahil diğer bilinen botnet aileleriyle ilişkili süreçleri sistematik olarak sonlandırarak ilerliyor.
Bu davranış, virüslü sistemlerde kaynakların tekelleştirilmesini sağlarken, gürültülü rakip kötü amaçlı yazılımları ortadan kaldırarak tespit olasılığını azaltır.
İkili veri yükünün kendisi, kritik yapılandırma verilerini statik analiz araçlarından gizlemek için 0x21 anahtar değerine sahip XOR tabanlı dize gizlemeyi kullanır.
Kodu çözülen dizeler, C2’nin başlatılması için “el sıkışma” ve DDoS yeteneklerini belirten “udpraw” dahil olmak üzere komut ve kontrol protokolü uygulamalarını ortaya çıkarır.
Kötü amaçlı yazılım, otomatik korumalı alan ortamlarında yaygın olarak kullanılan SIGKILL sonlandırmasını gösteren 137 numaralı çıkış kodunu kontrol ederek anti-analiz farkındalığını gösterir.
Bu durumun tespiti, komut dosyasının anında sonlandırılmasına neden olur ve birçok otomatik kötü amaçlı yazılım analiz sisteminden etkili bir şekilde kaçınır.
#!/bin/sh
# [email protected]
exec > /dev/null 2>&1
[ -t 0 ] && exit 0
for p in /proc/[0-9]*; do pid=${p##*/}; [ ! -e "$p/exe" ] && kill -9 $pid 2>/dev/null; done
setenforce 0
service apparmor stop
mount -o remount,rw /||sudo mount -o remount,rw /.webp)
Kalıcılık mekanizmaları, @reboot direktifleriyle cron tabanlı planlamayı güçlendirerek sistemin yeniden başlatılmasının ardından otomatik yürütme sağlar.
Kötü amaçlı yazılım, /tmp/lib/rondo, /dev/shm/lib/rondo ve /var/tmp/lib/rondo dahil olmak üzere birden fazla dosya sistemi konumuna kurulum yapmayı deneyerek farklı sistem yapılandırmaları ve izin yapılarına ilişkin farkındalık gösterir.
Ağ iletişimi, 74.194.191.52 adresindeki birincil C2 sunucusuna bir “el sıkışma” mesajıyla başlayan özel bir ikili protokol kullanılarak TCP bağlantı noktası 345 üzerinden gerçekleşir.
Kötü amaçlı yazılım, Kullanıcı Aracısı dizelerini yasal iPhone iOS 18.5 aygıtları gibi görünecek şekilde taklit ederek kurumsal ortamlardaki kötü amaçlı trafiği daha da gizler.
DDoS yetenekleri arasında oyun trafiğini taklit eden HTTP taşması saldırıları, UDP ham yuva işlemleri, TCP SYN taşması ve OpenVPN, WireGuard ve Minecraft, Fortnite ve Discord gibi popüler oyun platformları için protokol taklitçiliği yer alır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
