RondoDox IoTボットネット、56の脆弱性に拡大

複数のセキュリティ研究者が、RondoDox IoTボットネットキャンペーンの大規模な拡大を詳細に報告しました。このボットネットは、当初2つの脆弱性をターゲットにしていましたが、現在では30以上のベンダーにわたる56の脆弱性を悪用しています。

セキュリティベンダーのTrend MicroのZero Day Initiativeと研究チームは、2025年中頃から世界中で活発な悪用が観察されており、いくつかの脆弱性がアメリカのサイバーセキュリティおよびインフラセキュリティ庁の既知の脆弱性カタログに含まれていると報告しています。

今年初めにFortiGuard Labsが発表した初期のRondoDox分析では、TBK DVRデバイスのCVE-2024-3721とFour-FaithルーターのCVE-2024-12856を悪用するボットネットが特定されました。

RondoDoxの運営者は、Trend Microが「エクスプロイトショットガン」アプローチと呼ぶ方法を採用し、複数のエクスプロイトを発射して成功したターゲットの侵入を確認しています。

彼らの拡張された武器庫には、50のコマンドインジェクション脆弱性、2つのパストラバーサル脆弱性、バッファオーバーフロー、認証バイパス、メモリ破損の脆弱性が含まれています。

RondoDoxは、構成データを難読化するためにXORエンコーディングを使用し、ゲームプラットフォームやVPNサービスの合法的なトラフィックを模倣して検出を回避します。このマルウェアは、Valve、Minecraft、Roblox、Fortnite、Discord、OpenVPN、WireGuardなどのサービスのトラフィックとして偽装します。

RondoDoxは、MiraiおよびMorteペイロードとともにパッケージ化されたローダー・アズ・ア・サービスインフラストラクチャを通じて配布されています。CloudSEKの研究者は、6か月にわたるコマンドおよびコントロールログを通じてこの作戦を発見し、2025年7月から8月にかけて攻撃が230％増加したと報告しました。