複数ライセンス割引見積
脅威データベース ボットネット RondoDoxボットネットIoT攻撃キャンペーン

RondoDoxボットネットIoT攻撃キャンペーン

ボットネットMezoまで
翻訳内容:

サイバーセキュリティアナリストは、約9ヶ月間にわたり、IoT(モノのインターネット)デバイスとウェブアプリケーションを標的とした、非常に執拗な攻撃キャンペーンを発見しました。この攻撃の目的は、脆弱なシステムを「RondoDox」と呼ばれるボットネットに組み込むことであり、攻撃者の忍耐力と運用の成熟度の高さを物語っています。

React2Shell: 重要なエントリポイント

2025年12月現在、研究者らは、React2Shell(CVE-2025-55182)を主な初期アクセスメカニズムとして悪用するキャンペーンを確認しています。CVSSスコア10.0のこの重大な脆弱性は、React Server Components(RSC)とNext.jsの実装に影響を及ぼします。パッチが適用されていない場合、認証されていないリモートコード実行が可能になり、攻撃者が脆弱なシステムを事実上完全に制御できるようになります。

大規模な露出:世界的な影響

2025年12月下旬までに収集されたテレメトリによると、世界中で約90,300の脆弱なインスタンスが依然として無防備状態にあります。その大部分は米国にあり、約68,400のシステムを占めています。その他、ドイツ(約4,300)、フランス(2,800)、インド(1,500)など、大きな影響を受けている地域もあり、この問題が世界中に広がっていることを浮き彫りにしています。

RondoDoxがエクスプロイトアーセナルを進化させる

RondoDoxは2025年初頭に初めて確認されて以来、エクスプロイトツールキットに新たなNデイ脆弱性を組み込むことで、着実に機能を拡張してきました。これらの脆弱性には、CVE-2023-1389とCVE-2025-24893が含まれます。以前の報告では、このボットネットがReact2Shellを使用していることが既に警告されており、新たに発見された脆弱性が急速に武器化される傾向が浮き彫りになっています。

エスカレーションの3つのフェーズ

CVE-2025-55182 を武器化する前に、RondoDox キャンペーンは構造化されたエスカレーション サイクルを経て進行しました。

2025 年 3 月~4 月: 手動による脆弱性の発見とテストを組み合わせた集中的な偵察。

2025 年 4 月~ 6 月: WordPress、Drupal、Struts2 などの一般的な Web プラットフォームと、Wavlink ルーターなどの IoT ハードウェアを毎日大規模に調査します。

2025 年 7 月~12 月初旬: 最大限の到達範囲と持続性を実現するために設計された、完全に自動化された 1 時間ごとの展開。

12月の攻撃:ペイロードと持続性

2025年12月に観測された活動において、脅威アクターは公開されているNext.jsサーバーをスキャンし、複数の悪意あるコンポーネントの展開を試みていました。これらには、暗号通貨マイナー、ボットネットローダーおよびヘルスチェックユーティリティ、そしてx86システム向けにカスタマイズされたMiraiベースのボットネット亜種が含まれていました。

主要コンポーネントである「/nuts/bolts」は、攻撃者にとって防御的な役割を果たします。このコンポーネントは、競合するマルウェアや仮想通貨マイナーを体系的に終了させ、その後、コマンドアンドコントロール(C2)インフラストラクチャから主要なボットバイナリを取得します。確認された亜種の1つは、競合ボットネットの痕跡、Dockerベースのペイロード、以前のキャンペーンの残骸、関連するcronジョブを削除することで、感染ホストを積極的にクリーンアップすると同時に、/etc/crontabを改変することで永続性を確立します。

このマルウェアは、/procファイルシステムを継続的にスキャンしてアクティブな実行ファイルを識別し、ホワイトリストに登録されていないプロセスを約45秒ごとに終了させることで、さらに排他性を強化します。この動作により、他の脅威アクターによる再感染の試みを効果的に阻止します。

リスクの軽減と露出の制限

RondoDox による脅威に対抗するには、セキュリティ チームは階層化された防御戦略を採用する必要があります。

  • Next.js のデプロイメントを、CVE-2025-55182 に対処するパッチが完全に適用されたバージョンに速やかにアップグレードしてください。
  • 横方向の移動を制限するために、IoT デバイスを専用 VLAN 内に分離します。
  • Web アプリケーション ファイアウォール (WAF) を実装し、異常なプロセス実行を継続的に監視します。
  • ボットネットに関連する既知のコマンド アンド コントロール インフラストラクチャを積極的にブロックします。

これらの対策を組み合わせることで、侵害の可能性が大幅に低減し、進行中のボットネット活動の影響を抑えるのに役立ちます。

トレンド

Myrmecophaga Tridactyla

望ましくない可能性のあるプログラム
最近、Myrmecophaga Tridactyla という名前のブラウザ拡張機能および迷惑プログラム (PUP) が、インターネット ユーザーの間で懸念の原因として浮上しています。 Myrmecophaga Tridactyla はブラウザ拡張機能とも呼ばれ、インストールされると Web ブラウザのセキュリティとパフォーマンスを著しく損なう可能性がある潜在的に有害なソフトウェアです。特に、...

VOOIエアドロップ詐欺

不正なウェブサイト
ウェブ閲覧時の注意は、特に金銭やデジタル資産に関わる分野においては、これまで以上に重要になっています。サイバー犯罪者は、ユーザーを欺くために、巧妙ななりすまし、洗練されたウェブサイト、そして「見逃せない」と思わせるような緊急オファーにますます頼るようになっています。最近確認された、Raribleのような偽の暗号通貨ウェブサイトを利用した詐欺は、疑いを持たない訪問者がいかに簡単に騙されて暗号通...

Microsoft アカウント詐欺メールに関する重要な警告

フィッシング, スパム
緊急の対応を要求する予期せぬメールは、サイバー犯罪者の常套手段です。特にアカウントの問題や新たに公開された文書に関する警告など、突然のメッセージに警戒を怠らないことの重要性は、いくら強調してもし過ぎることはありません。オンラインで蔓延しているそのような脅威の一つに、「請求書が公開されました」と名乗るメール詐欺があります。これは、信頼を悪用して機密情報を盗み出すことを目的とした欺瞞的なキャンペーンです。これらのメールは、その内容とは裏腹に、いかなる正当な企業、組織、団体とも一切関係がありません。 「請求書を発行します」という電子メール詐欺とは何ですか? 「請求書が公開されました」という詐欺...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
46,853
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
35,421
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Discord 灰色の画面で立ち往生

問題
34,877
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
読み込んでいます...