Mạng botnet RondoDox đang lợi dụng hơn 50 lỗ hổng trên hơn 30 nhà cung cấp

[Starlink]

Các chiến dịch phần mềm độc hại phân phối botnet RondoDox đã mở rộng mục tiêu để khai thác hơn 50 lỗ hổng bảo mật trên hơn 30 nhà cung cấp.

Theo Trend Micro, hoạt động này, được mô tả giống như cách tiếp cận "súng ngắn khai thác", đã nhắm vào nhiều cơ sở hạ tầng có kết nối internet, bao gồm bộ định tuyến, đầu ghi video kỹ thuật số (DVR), đầu ghi video mạng (NVR), hệ thống CCTV, máy chủ web và nhiều thiết bị mạng khác.

Công ty an ninh mạng cho biết họ đã phát hiện ra nỗ lực xâm nhập RondoDox vào ngày 15 tháng 6 năm 2025, khi những kẻ tấn công khai thác CVE-2023-1389, một lỗ hổng bảo mật trong bộ định tuyến TP-Link Archer đã liên tục bị khai thác kể từ lần đầu tiên được tiết lộ vào cuối năm 2022.

RondoDox lần đầu tiên được Fortinet FortiGuard Labs ghi nhận vào tháng 7 năm 2025, nêu chi tiết các cuộc tấn công nhắm vào đầu ghi video kỹ thuật số TBK (DVR) và bộ định tuyến Four-Faith để đưa chúng vào mạng botnet nhằm thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS) vào các mục tiêu cụ thể bằng giao thức HTTP, UDP và TCP.

Trend Micro cho biết: "Gần đây, RondoDox đã mở rộng phạm vi phân phối bằng cách sử dụng cơ sở hạ tầng 'trình tải dưới dạng dịch vụ' đóng gói RondoDox với các tải trọng Mirai/Morte – giúp việc phát hiện và khắc phục trở nên cấp bách hơn".

Kho công cụ khai thác mở rộng của RondoDox bao gồm gần năm mươi lỗ hổng bảo mật, trong đó có 18 lỗ hổng không được chỉ định mã CVE. 56 lỗ hổng này thuộc nhiều nhà cung cấp khác nhau như D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQrouter, Ricon, Nexxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH, Zyxel, Hytec Inter, Belkin, Billion và Cisco.

"Chiến dịch botnet RondoDox mới nhất cho thấy một bước tiến đáng kể trong khai thác mạng tự động", công ty nói thêm. "Đây là một tín hiệu rõ ràng cho thấy chiến dịch này đang phát triển vượt ra khỏi chủ nghĩa cơ hội trên một thiết bị đơn lẻ để trở thành một hoạt động tải đa hướng."

Vào cuối tháng trước, CloudSEK đã tiết lộ thông tin chi tiết về một mạng botnet dịch vụ tải dữ liệu quy mô lớn phân phối các phần mềm RondoDox, Mirai và Morte thông qua các bộ định tuyến SOHO, thiết bị Internet vạn vật (IoT) và ứng dụng doanh nghiệp bằng cách lợi dụng thông tin xác thực yếu, dữ liệu đầu vào chưa được kiểm tra và CVE cũ.

Diễn biến này diễn ra khi nhà báo an ninh Brian Krebs lưu ý rằng botnet DDoS mang tên AISURU đang "thu hút phần lớn hỏa lực" từ các thiết bị IoT bị xâm nhập được lưu trữ trên các nhà cung cấp internet của Mỹ như AT&T, Comcast và Verizon. Một trong những người điều hành botnet này, Forky, được cho là có trụ sở tại Sao Paulo, Brazil, và cũng có liên quan đến một dịch vụ giảm thiểu DDoS có tên là Botshield.

Trong những tháng gần đây, AISURU đã nổi lên như một trong những mạng botnet lớn nhất và gây gián đoạn nghiêm trọng nhất, chịu trách nhiệm cho một số cuộc tấn công DDoS kỷ lục từ trước đến nay. Được xây dựng trên nền tảng Mirai, mạng botnet này kiểm soát khoảng 300.000 máy chủ bị xâm nhập trên toàn thế giới.

Những phát hiện này cũng theo sau việc phát hiện ra một hoạt động botnet phối hợp liên quan đến hơn 100.000 địa chỉ IP duy nhất từ không dưới 100 quốc gia nhắm vào các dịch vụ Giao thức máy tính từ xa (RDP) tại Hoa Kỳ, theo GreyNoise.

Hoạt động này được cho là bắt đầu vào ngày 8 tháng 10 năm 2025, với phần lớn lưu lượng truy cập có nguồn gốc từ Brazil, Argentina, Iran, Trung Quốc, Mexico, Nga, Nam Phi, Ecuador và các quốc gia khác.

Công ty tình báo mối đe dọa cho biết : "Chiến dịch sử dụng hai vectơ tấn công cụ thể - tấn công thời gian RD Web Access và liệt kê đăng nhập máy khách web RDP - với hầu hết các IP tham gia chia sẻ một dấu vân tay TCP tương tự, cho thấy sự kiểm soát tập trung".