鎖定物聯網裝置資安漏洞而來的殭屍網路RondoDox,最早是半年前資安公司Fortinet發現相關活動,當時他們看到駭客大肆掃描TKB的DVR設備作業系統命令注入漏洞CVE-2024-3721,以及中國網路設備廠商廈門四信科技工控路由器命令注入漏洞CVE-2024-12856,如今有資安公司指出,此殭屍網路的活動最早可追溯到2025年3月。
威脅情報公司CloudSEK指出,RondoDox從12月上旬開始轉換主要攻擊目標,利用CVE-2025-55182(React2Shell)綁架Next.js應用程式伺服器,後續進一步更換基礎設施從事相關活動,該公司從12月13日起,不到一週,已發現超過40起重複的攻擊活動。此殭屍網路病毒迄今已發展出超過10個變種,CloudSEK也確認有6臺C2伺服器用於相關活動。
CVE-2025-55182存在於React伺服器元件(React Server Components,RSC)的重大漏洞,發現此漏洞的研究人員將其命名為React2Shell,此漏洞可被用於遠端執行任意程式碼,CVSS風險值達到10分,而且非常容易利用,公開不久就有多組中國國家級駭客、殭屍網路、挖礦軟體,以及木馬程式用於實際攻擊活動,其中一組就是使用RondoDox的駭客團體。
一般而言,RondoDox活動的型態,大致可區分成3種,這些駭客先在3月至4月手動操作,進行零星嘗試,後續在4月至6月已發展成每天自動化掃描,從7月開始威脅加劇,已演變成每小時都在執行自動部署作業,其中攻擊活動的高峰,約從12月13日出現。
RondoDox鎖定Next.js應用程式伺服器的漏洞利用活動,大致可分成兩個階段,12月8日至16日進行漏洞掃描,尋找存在React2Shell的伺服器,接著從12月13日開始,透過Node.js於目標主機植入殭屍網路病毒,隨後下載ELF二進位檔案並於背景執行。這些ELF檔包含Mirai變種、挖礦軟體,以及殭屍網路載入工具。
在駭入Next.js應用程式伺服器之前,RondoDox不光針對物聯網裝置,也曾試圖綁架XWiki伺服器,11月初也將重大漏洞CVE-2025-24893納入武器庫,此漏洞攻擊者無須通過身分驗證,即可透過特定請求連至Xwiki主機執行任意程式碼(RCE),CVSS風險評分為9.8分。
熱門新聞
2026-01-06
2026-01-06
2026-01-06
2026-01-05
2026-01-02
