Gelişmiş bir tehdit grubu, web uygulamalarındaki ve Nesnelerin İnterneti (IoT) cihazlarındaki en son güvenlik açıklarından yararlanarak kuruluşlara karşı kampanyasını yoğunlaştırdı.
Mart ayından Aralık 2025’e kadar dokuz ayı kapsayan açık komuta ve kontrol günlükleri aracılığıyla takip edilen RondoDoX botnet, kurumsal altyapının tehlikeye atılmasına yönelik amansız bir yaklaşım sergiliyor.
Kötü amaçlı yazılım, savunmasız sistemlerin taranmasıyla başlayan ve kripto madencilerinin ve botnet yüklerinin çeşitli ağ ortamlarına dağıtılmasıyla sonuçlanan çok aşamalı bir bulaşma süreciyle çalışıyor.
Kampanya, her biri bir öncekinden giderek daha karmaşık hale gelen üç farklı saldırı aşamasını ortaya koyuyor. Başlangıçta tehdit aktörleri çeşitli platformlarda manuel güvenlik açığı testleri gerçekleştirdi.
.webp)
Nisan 2025’e gelindiğinde birden fazla web çerçevesini hedef alan otomatik günlük tarama işlemlerine geçtiler.
Temmuz 2025’te başlayan son aşamada, saldırılar saatlik dağıtım girişimlerine yükseltildi ve saldırganların sürekli yararlanma ve altyapıyı tehlikeye atma kararlılığı ortaya çıktı.
CloudSEK analistleri, kötü amaçlı altyapıya yönelik rutin taramalar yoluyla kötü amaçlı yazılımı belirledi ve örtüşen çalışma dönemlerine sahip olduğu onaylanmış altı komuta ve kontrol sunucusunu ortaya çıkardı.
Araştırmacılar, güvenliği ihlal edilmiş sistemlerde aktif olarak dağıtılan en az on botnet varyantının kanıtını keşfetti; komut günlükleri, ayrıntılı saldırı modellerini ve tüm kampanya zaman çizelgesini kapsayan altyapı kullanımını ortaya koyuyor.
En endişe verici gelişme, tehdit aktörlerinin React2Shell yüklerini dağıtmak için kritik bir Next.js güvenlik açığını silahlandırmaya başladığı Aralık 2025’te ortaya çıktı.
Saldırı zinciri
Bu geçiş, grubun yeni açıklanan güvenlik kusurlarına hızla uyum sağlama ve benimseme yeteneğini gösteriyor.
Saldırı zinciri, kör uzaktan kod yürütme testi yoluyla savunmasız sunucuların belirlenmesiyle başlar ve ardından aktif komuta ve kontrol altyapısından kötü amaçlı yükleri indiren ELF ikili dosyalarının konuşlandırılmasıyla başlar.
Kötü amaçlı yazılımın bulaşma mekanizması, gelişmiş kalıcılık ve kaçınma yeteneklerini ortaya koyuyor. Botnet, konuşlandırıldıktan sonra sistem dosyalarındaki cron işi yapılandırması yoluyla kalıcılık sağlar ve sistem kaynaklarını tekeline almak için rakip kötü amaçlı yazılımları agresif bir şekilde sonlandırır.
Yük, güvenliği ihlal edilmiş ana bilgisayarlarda uzun vadeli hakimiyet için tasarlanmış kripto madencilerini ve destek çerçevelerini içerir.
Botnet, heterojen kurumsal ortamlarda başarılı yük dağıtımı sağlamak için wget, curl, tftp ve ftp protokollerini kullanan çoklu geri dönüş indirme mekanizmalarıyla x86, x86_64, MIPS, ARM ve PowerPC dahil olmak üzere birden fazla işlemci mimarisini destekler.
İnternete yönelik yönlendiricileri, kameraları ve Next.js Sunucu Eylemlerini çalıştıran uygulamaları olan kuruluşlar anında riskle karşı karşıyadır.
Ağ bölümleme, savunmasız uygulamalara anında yama uygulanması, Web Uygulaması Güvenlik Duvarı dağıtımı ve geçici dizinlerde şüpheli işlem yürütmenin sürekli izlenmesi temel savunma önlemleri olmayı sürdürüyor.
Ek olarak, belirlenen komuta ve kontrol altyapısının çevre güvenlik duvarlarında engellenmesi, aktif istismar girişimlerine karşı kısa vadeli kritik koruma sağlar.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
