RondoDox 僵尸網絡武器庫升級:漏洞利用能力激增 650%
RondoDox僵尸網絡近期出現重大升級版本,其漏洞利用能力激增650%,標志著針對企業和物聯網(IoT)基礎設施的威脅態勢顯著升級。
FortiGuard Labs于2024年9月首次記錄的原始RondoDox變種僅針對DVR系統,僅具備兩種漏洞利用途徑。而新發現的RondoDox v2則展現出驚人擴張,擁有超過75種不同的漏洞利用途徑,攻擊目標涵蓋從老舊路由器到現代企業應用的各類設備。
這一演變代表了僵尸網絡開發策略的根本轉變,彌合了機會型物聯網攻擊與針對性企業入侵之間的鴻溝。2025年10月30日,研究人員通過蜜罐遙測技術檢測到該惡意軟件,當時研究基礎設施開始接收到來自新西蘭IP地址124.198.131.83的自動化漏洞利用嘗試。
攻擊特征與技術分析
該攻擊模式憑借其規模和復雜程度立即引起關注,攻擊者在短時間內連續部署了75種不同的漏洞利用載荷。所有載荷均嘗試針對路由器和IoT設備漏洞實施命令注入攻擊,并從位于74.194.191.52的命令與控制(C2)服務器下載惡意腳本。
值得注意的是,威脅行為者一反僵尸網絡運營者慣用的匿名操作安全策略,直接在User-Agent字符串中嵌入了公開歸屬簽名——bang2013@atomicmail.io。Beelzebub分析師通過其原生AI欺騙平臺識別出該惡意軟件,該平臺完整捕獲了攻擊鏈,使研究人員能夠全面分析該僵尸網絡的技術能力。
RondoDox v2的攻擊目標涵蓋多個廠商生態系統中存在漏洞的設備,涉及十余年來的CVE漏洞歷史記錄。其武器庫包含多個關鍵漏洞,包括:
- CVE-2014-6271(Shellshock)
- CVE-2018-10561(Dasan GPON路由器)
- CVE-2021-41773(Apache HTTP服務器)
- CVE-2024-3721(TBK DVR系統)
該惡意軟件展現出跨平臺靈活性,部署了16種針對特定架構的二進制文件,包括x86_64、多種ARM變體、MIPS、PowerPC,甚至包括m68k和SPARC等老舊架構。這種全面的架構支持確保了其在各類嵌入式系統和企業服務器上的最大感染潛力。
命令與控制基礎設施運行在分布于多個ASN的被入侵住宅IP地址上,提供了傳統攔截策略難以應對的韌性和規避能力。
技術基礎設施與混淆機制
RondoDox v2使用的投放腳本展示了精密的規避和持久化技術,旨在繞過安全控制并清除競爭性惡意軟件。執行后,腳本立即使用setenforce 0和service apparmor stop等命令禁用SELinux和AppArmor安全框架,為惡意活動創造有利環境。
隨后腳本會進行激進的競爭者清除操作,系統性地終止與xmrig等加密貨幣挖礦程序以及redtail等其他已知僵尸網絡家族相關的進程。這種行為確保了在被感染系統上的資源獨占,同時通過消除嘈雜的競爭性惡意軟件降低了檢測概率。
二進制載荷本身采用基于XOR的字符串混淆技術(密鑰值為0x21),以隱藏靜態分析工具可能發現的關鍵配置數據。解碼后的字符串揭示了命令與控制協議的實現細節,包括用于C2初始化的"handshake"和表明DDoS能力的"udpraw"。
該惡意軟件展現出反分析意識,會檢查退出代碼137——這是自動化沙箱環境常用的SIGKILL終止信號。檢測到該條件會導致腳本立即終止,有效規避許多自動化惡意軟件分析系統。
#!/bin/sh
# bang2013@atomicmail.io
exec > /dev/null 2>&1
[ -t 0 ] && exit 0
for p in /proc/[0-9]*; do pid=${p##*/}; [ ! -e "$p/exe" ] && kill -9 $pid 2>/dev/null; done
setenforce 0
service apparmor stop
mount -o remount,rw /||sudo mount -o remount,rw /
持久化機制利用基于cron的調度和@reboot指令,確保系統重啟后自動執行。惡意軟件嘗試在多個文件系統位置安裝自身,包括/tmp/lib/rondo、/dev/shm/lib/rondo和/var/tmp/lib/rondo,顯示出對不同系統配置和權限結構的了解。
網絡通信通過TCP端口345進行,使用自定義二進制協議,首先向位于74.194.191.52的主C2服務器發送"handshake"消息。惡意軟件會偽造User-Agent字符串,偽裝成合法的iPhone iOS 18.5設備,進一步在企業環境中隱藏惡意流量。
DDoS能力包括:
- 模仿游戲流量的HTTP洪水攻擊
- UDP原始套接字操作
- TCP SYN洪水攻擊
- 對OpenVPN、WireGuard以及Minecraft、Fortnite和Discord等流行游戲平臺的協議模仿攻擊
