RondoDox 殭屍網路採「霰彈槍」攻擊策略，鎖定 56 個漏洞大規模入侵網路設備

名為 RondoDox 的新型殭屍網路正在全球範圍內發動大規模攻擊，鎖定超過 30 家廠商的 56 個已知漏洞，攻擊目標涵蓋路由器、DVR、NVR、CCTV 系統及網頁伺服器等網路設備。資安研究人員指出，這個殭屍網路採取「霰彈槍式」(exploit shotgun)攻擊策略，同時發射多個漏洞利用程式，藉此最大化感染範圍。

鎖定 Pwn2Own 漏洞，快速開發攻擊工具

趨勢科技(Trend Micro)與零日倡議(Zero Day Initiative，ZDI)研究團隊於 2025 年 6 月 15 日首次偵測到 RondoDox 入侵行為。攻擊者利用 CVE-2023-1389 漏洞，而該漏洞影響 TP-Link Archer AX21 Wi-Fi 路由器的 WAN 介面，最初在 2022 年 Pwn2Own Toronto 駭客競賽中被揭露。研究人員發現，殭屍網路開發者密切關注 Pwn2Own 活動中展示的漏洞，並迅速將其武器化。例如，Mirai 在 2023 年就已利用 CVE-2023-1389 漏洞發動攻擊。

Fortinet FortiGuard Labs 於 2025 年 7 月首次公開記錄 RondoDox，資安業者的監測資料顯示，從 2025 年 7 月到 8 月，攻擊活動激增超過 230%。

針對 56 個漏洞發動攻擊，其中 18 個尚未分配 CVE 編號

趨勢科技的報告指出，RondoDox 利用了 56 個漏洞攻擊超過 30 個不同的設備型號。在這些漏洞中，有 38 個已經獲得 CVE 編號，主要類型為命令注入(command injection)漏洞，另外也包含路徑穿越(path traversal)、身分驗證繞過(authentication bypass)、緩衝區溢位(buffer overflow)及記憶體損毀(memory corruption)等弱點。

特別值得注意的是，研究人員發現 RondoDox 還利用了 18 個尚未分配 CVE 編號的命令注入漏洞，這些漏洞影響 D-Link（友訊科技）NAS 設備、TVT 和 LILIN（利凌企業）DVR、Fiberhome、ASMAX 和 Linksys 路由器、Brickcom攝影機等產品。這意味著部分攻擊可能針對的是零日漏洞(zero-day)或長期未被通報的安全缺陷。

近期遭利用的漏洞包括：

• CVE-2023-1389：TP-Link Archer AX21 路由器
• CVE-2024-3721：TBK DVR-4104 和 DVR-4216 數位錄影機
• CVE-2024-12856：Four-Faith F3x24 和 F3x36 路由器
• CVE-2023-52163：Digiever（永恒數位）產品
• CVE-2023-47565：QNAP（威聯通科技）裝置
• CVE-2024-10914：D-Link（友訊科技）設備
• 其他受影響的廠商包括 TRENDnet、Netgear、AVTECH（陞泰科技）、TOTOLINK、Tenda、Edimax（訊舟科技）、Linksys 等

多層次持久化機制，難以完全清除

惡意軟體 RondoDox 是採用多種進階規避技術，包括反分析措施、XOR 編碼的配置資料、客製化函式庫及強固的持久化機制。除了使用 init 腳本，RondoDox 還會將啟動命令附加到多個系統啟動檔案（包括 /etc/rcS、/etc/init.d/rcS 和 /etc/inittab），以及使用者和 root 的 crontab 項目。這種分層持久化策略確保即使移除其中一種方法，其他方法仍能在系統重新啟動時自動恢復殭屍網路。

執行時，RondoDox 會掃描系統中的特定應用程式,尋找與網路工具(如 wget 和 curl)、系統分析工具(如 Wireshark 和 gdb)或其他惡意軟體(如加密貨幣挖礦程式或 Redtail 變體)相關的關鍵字。一旦偵測到這些程序，RondoDox 就會立即終止它們，藉此規避分析並維持隱匿運作。

採用「載入器即服務」模式，與 Mirai、Morte 同步散布

CloudSEK 發現這個殭屍網路採用「載入器即服務」(Loader-as-a-Service，LaaS)模式運作，系統性地鎖定 SOHO 路由器、物聯網設備和企業應用程式。攻擊手法包括三種主要方式：利用網頁介面中未經過濾的 POST 參數(如 NTP、syslog、主機名稱欄位)執行遠端酬載、利用預設憑證入侵，以及針對已知 CVE 漏洞發動攻擊。

研究人員觀察到，被感染的設備遭濫用於加密貨幣挖礦、分散式阻斷服務(DDoS)攻擊，以及入侵企業網路。RondoDox 營運者快速輪換基礎設施以規避偵測，並將 RondoDox 二進位檔與 Mirai 和 Morte 酬載一起散布。

RondoDox 支援多種 Linux 架構的酬載，包括 ARM、MIPS、Intel 80386、MC68000、MIPS R3000、PowerPC、SuperH、ARCompact、x86-64 及 AArch64，使其能夠感染各種硬體平台的設備。

零售、倉儲、小型辦公室成高風險目標

許多遭攻擊的設備部署在零售商店、倉庫和小型辦公室等關鍵環境中，往往長年無人監控而成為理想攻擊目標，除了容易被利用、難以偵測，更常因韌體過時或連接埠配置錯誤而直接暴露在網際網路上。

研究人員強調，較舊的漏洞構成重大風險，特別是在已達生命週期終止(End-of-Life，EoL)的設備中，因這些設備更可能保持未修補狀態。受支援硬體中的較新漏洞同樣危險，因為許多使用者在設定設備後往往忽略韌體更新。

防護建議

面對 RondoDox 等殭屍網路威脅，企業與個人使用者應採取以下防護措施：

• 立即套用韌體更新：為所有網路設備安裝最新韌體修補程式，特別是針對已列入 CISA 已知遭利用漏洞目錄（KEV）的 CVE
• 更換生命週期終止設備：淘汰已停止支援的舊設備，這些設備不會再收到安全更新
• 實施網路區隔：將關鍵資料與面向網際網路的物聯網設備或訪客連線隔離
• 更換預設憑證：將所有設備的預設帳號密碼更換為強式密碼
• 定期進行漏洞評估：持續監控設備，檢查是否出現異常活動
• 限制遠端管理存取：停用不必要的遠端管理功能，例如遠端 syslog、NTP 或診斷服務
• 實施出口流量封鎖：封鎖對已知惡意基礎設施的輸出 HTTP/HTTPS 連線

研究人員警告，RondoDox 攻擊行動截至 2025 年 10 月仍持續活躍。組織必須優先修補所有列出的漏洞，尤其是已納入 CISA KEV 目錄的漏洞。

本文轉載自 DarkReading、BleepingComputer。