Cybersecurity-onderzoekers vestigen de aandacht op een malware-campagne die zich richt op beveiligingsfouten in TBK Digital Video Recorders (DVR’s) en vierschendige routers om de apparaten te touwen in een nieuw botnet genaamd Rondodox.
De kwetsbaarheden in kwestie omvatten CVE-2024-3721, een kwetsbaarheid voor commando-injectie van medium-ernst die van invloed is op TBK DVR-4104 en DVR-4216 DVR’s en CVE-2024-12856, een besturingssysteem (OS) commando-injectie-bug van vier-faith routermodellen F3X24 en F3X36.
Veel van deze apparaten zijn geïnstalleerd in kritieke omgevingen zoals winkels, magazijnen en kleine kantoren, waar ze vaak jarenlang niet worden geconfronteerd. Dat maakt hen ideale doelen – gemakkelijk te exploiteren, moeilijk te detecteren en meestal rechtstreeks aan internet blootgesteld door verouderde firmware of verkeerd geconfigureerde poorten.
Het is vermeldenswaard dat alle drie de beveiligingsdefecten de afgelopen maanden herhaaldelijk zijn bewapend door dreigingsacteurs om verschillende Mirai Botnet -varianten in te zetten.
“Beide (de beveiligingsfouten) zijn publiekelijk bekendgemaakt en zijn actief het doelwit, waardoor ernstige risico’s zijn voor apparaatbeveiliging en algemene netwerkintegriteit,” zei Fortinet Fortiguard Labs -onderzoeker Vincent Li.
Het Cybersecurity Company zei dat het voor het eerst een elf binair getal voor Rondodox in september 2024 identificeerde, waarbij de malware verkeer kan nabootsen van gamingplatforms of VPN -servers die onder de radar vliegen.
Wat Rondodox bijzonder gevaarlijk maakt, is niet alleen de overname van het apparaat – het is hoe de aanvallers die toegang opnieuw gebruiken. In plaats van geïnfecteerde apparaten te gebruiken als typische botnetknooppunten, bewapen ze ze als stealth-proxy’s om command-and-control verkeer te verbergen, gelaagde oplichting uit te voeren of DDOS-voor-huurcampagnes te versterken die financiële fraude combineren met infrastructuurverstoring.
Analyse van rondodox-artefacten geeft aan dat het in eerste instantie werd gedistribueerd op gerichte Linux-gebaseerde besturingssystemen die op ARM- en MIPS-architecturen worden uitgevoerd, voordat het wordt gedistribueerd via een shell script downloader die andere Linux-architecturen kan richten zoals Intel 80386, MC68000, MIPS R3000, PowerPC, Superh, ARCOMPACT, X86-64 en AARCH64.
The shell script, once launched, instructs the victim host to ignore SIGINT, SIGQUIT, and SIGTERM signals that are used to terminate processes in Unix-like operating systems, and checks for writable paths across various paths such as /dev, /dev/shm, the victim user’s home directory, /mnt, /run/user/0, /var/log, /var/run, /var/tmp, and /Data/Local/TMP.
In de laatste stap wordt de Rondodox -malware gedownload en uitgevoerd naar de host en wist de geschiedenis van de opdrachtuitvoering om sporen van de kwaadaardige activiteit te wissen. De BOTNET -payload van zijn kant gaat door met het instellen van persistentie op de machine om ervoor te zorgen dat deze automatisch wordt gelanceerd na een systeem opnieuw opstarten.
Het is ook ontworpen om de lijst met lopende processen te scannen en elk proces te beëindigen met betrekking tot netwerkhulpprogramma’s (bijv. WGET en CURL), systeemanalysetools (bijv. Wireshark en GDB), of andere malware (bijv. Cryptominers of redtail -varianten) om operationele stealth te behouden.
Deze aanpak weerspiegelt een groeiende trend in het botnetontwerp waarbij dreigingsacteurs multi-architectuur druppers, DOH-gebaseerde C2-resolutie en XOR-ingevoerd ladingen gebruiken om legacy-IDS-regels te omzeilen. Als onderdeel van een bredere categorie van ontwijkende Linux -malware, zit Rondodox naast bedreigingen zoals Rustobot en Mozi en vormt een nieuwe golf van aanpasbare botnets die zijn gebouwd om slechte IoT -hygiëne en zwakke routerharding te exploiteren.
Bovendien scant Rondodox verschillende gemeenschappelijke Linux -uitvoerbare mappen, zoals/usr/sbin,/usr/bin,/usr/local/bin, en/usr/local/sbin, en hernoemt legitieme uitvoerbare bestanden met willekeurige tekens met een intentie om herstelinspanningen te remmen. De gewijzigde bestandsnamen worden hieronder vermeld –
- iptables – jsujpf
- UFW – NQQBSC
- Passwd – Ahwdze
- ChPASSWD – EREGHX
- Afsluiting – HHRQWK
- poweroff – dcwkkb
- halt – cjtzgw
- Reboot – gaajct
Zodra het instelproces is voltooid, neemt de malware contact op met een externe server (83.150.218 (.) 93) om opdrachten te ontvangen om gedistribueerde Denial-of-Service (DDOS) -aanvallen uit te voeren tegen specifieke doelen met behulp van HTTP-, UDP- en TCP-protocollen.
“Om detectie te ontwijken, vermomt het kwaadaardig verkeer door populaire games en platforms te emuleren zoals Valve, Minecraft, Dark and Darker, Roblox, Dayz, Fortnite, GTA, evenals tools zoals Discord, OpenVPN, Wireguard en Raknet,” zei Fortinet.
“Naast gaming- en chatprotocollen kan Rondodox ook aangepast verkeer nabootsen van tunneling en realtime communicatiediensten, waaronder Wireguard, OpenVPN-varianten (bijv. OpenVPNAuth, openvpncrypt, openvpntcp), stun, dtls en RTC.”
Bij het nadenken over het verkeer geassocieerd met legitieme tools, is het idee om op te gaan in normale activiteit en het een uitdaging te maken voor verdedigers om het te detecteren en te blokkeren.
“Rondodox is een geavanceerde en opkomende malwaredreiging die geavanceerde ontwijkingstechnieken gebruikt, waaronder anti-analysemaatregelen, XOR-gecodeerde configuratiegegevens, op maat gemaakte bibliotheken en een robuust persistentiemechanisme,” zei Li. “Met deze mogelijkheden kan het onopgemerkt blijven en langetermijntoegang behouden op gecompromitteerde systemen.”
