RondoDoxボットネット
RondoDoxボットネットを悪用したマルウェア攻撃は、攻撃対象領域を劇的に拡大し、現在では30社以上のベンダーの50以上の脆弱性を標的としています。セキュリティ専門家はこのアプローチを「エクスプロイトショットガン」と表現しており、インターネットに露出している幅広いインフラを無差別に標的としていることを反映しています。影響を受けるシステムには、ルーター、デジタルビデオレコーダー(DVR)、ネットワークビデオレコーダー(NVR)、CCTVシステム、ウェブサーバー、その他多数のネットワーク接続デバイスが含まれます。
目次
初期の侵入と歴史的背景
RondoDoxの最初の顕著な活動は2025年7月に観測され、研究者らはTBK DVRとFour-Faithルーターへの攻撃を記録しました。これらのデバイスは、HTTP、UDP、TCPプロトコルを介して分散型サービス拒否(DDoS)攻撃を実行するように設計されたボットネットに組み入れられていました。
2025年6月15日、TP-Link Archerルーターを標的としたCVE-2023-1389を介した特定の侵入試行が検出されました。この脆弱性は、2022年後半に公開されて以来、繰り返し悪用されています。これらのインシデントは、RondoDoxが日和見的な単一デバイス攻撃から、より広範で組織化されたキャンペーンへと進化し続けていることを浮き彫りにしています。
Loader-as-a-Service による拡張配布
RondoDoxは最近、ローダー・アズ・ア・サービス(LaaS)モデルを採用し、MiraiやMorteなどのマルウェアとペイロードをパッケージ化しました。この戦術により、攻撃者は複数の脅威を同時に拡散することができ、検出と修復を困難にしています。
この拡大されたキャンペーンの主な特徴は次のとおりです。
- 脆弱な認証情報、サニタイズされていない入力、およびレガシー CVE を使用してデバイスを侵害する
- SOHOルーター、IoTデバイス、エンタープライズアプリケーションをターゲットに
- マルチベクトルの悪用は、単一デバイスの機会主義から協調的なボットネット展開への移行を示唆している
幅広いエクスプロイトアーセナル
RondoDoxは現在、約56件の脆弱性を利用しており、そのうち18件にはCVE識別子が付与されていません。悪用されたシステムは、以下を含む幅広いベンダーにまたがっています。
D-Link、TVT、LILIN、Fiberhome、Linksys、BYTEVALUE、ASMAX、Brickcom、IQrouter、Ricon、Nexxt、NETGEAR、Apache、TBK、TOTOLINK、Meteobridge、Digiever、Edimax、QNAP、GNU、Dasan、Tenda、LB-LINK、AVTECH、Zyxel、Hytec Inter、Belkin、Billion、Cisco。
この増大する攻撃手段は、ボットネットの高度化と、よく知られている脆弱性とこれまで文書化されていない脆弱性の両方を悪用する能力の増大を示しています。
サイバーセキュリティへの影響
最新のRondoDoxキャンペーンは、自動化されたネットワークエクスプロイトの大きな進化を示しています。Loader-as-a-Service(LaaS)の運用と拡張されたエクスプロイトセットを組み合わせることで、攻撃者は単一デバイスへの日和見的な攻撃から、戦略的かつマルチベクトル型のボットネット運用へと移行しています。
セキュリティ チームは、既知の脆弱性の修正を優先し、疑わしいネットワーク アクティビティを監視し、急速に進化する脅威によってもたらされるリスクを軽減するためにプロアクティブな検出ツールを導入しながら、常に警戒を怠らないようにする必要があります。
