Cảnh quan mối đe dọa an ninh mạng đã thay đổi đáng kể vào ngày 30 tháng 10 năm 2025. Các nhà nghiên cứu bảo mật giám sát cơ sở hạ tầng honeypot đã phát hiện một biến thể tiến hóa đáng kể của botnet RondoDox, được đặt tên là mã độc RondoDox v2.

Phiên bản cập nhật này hiện có 75 vectơ khai thác riêng biệt. Đây là một sự mở rộng cơ bản, biến mã độc RondoDox v2 từ một botnet chủ yếu tập trung vào IoT thành một mối đe dọa đa diện nhắm vào doanh nghiệp. Nó có khả năng tấn công từ bộ định tuyến dân dụng đến cơ sở hạ tầng kinh doanh trọng yếu.

Phát hiện và Các Chỉ số Thỏa hiệp Ban đầu

Phát hiện này xuất hiện từ các nỗ lực khai thác tự động. Chúng bắt nguồn từ địa chỉ IP 124.198.131.83 tại New Zealand. Mô hình tấn công đã tiết lộ một kho vũ khí payloads chèn lệnh chưa từng có, được triển khai với độ chính xác trong hoạt động.

Biến thể này được xác định là RondoDox v2, thể hiện sự leo thang đáng kể so với chủng gốc được FortiGuard Labs ghi nhận vào tháng 9 năm 2024.

Tất cả các nỗ lực khai thác đã hướng nạn nhân đến cơ sở hạ tầng Command and Control (C2) bị xâm nhập. Các payloads cố gắng tải xuống các shell script độc hại từ IP 74.194.191.52.

Điểm khác biệt của phát hiện này so với hoạt động botnet thông thường là chữ ký của kẻ tấn công được nhúng trực tiếp trong chuỗi User-Agent: [email protected]. Điều này cho thấy sự tự tin đáng kể trong hoạt động hoặc cố ý gán công khai để thiết lập danh tiếng hoặc nhận trách nhiệm cho chiến dịch.

Tiến hóa Kiến trúc và Mở rộng Cơ sở hạ tầng C2

Những thay đổi kiến trúc giữa RondoDox v1 và v2 nhấn mạnh sự dịch chuyển có ý thức trong chiến lược nhắm mục tiêu và sự tinh vi của cơ sở hạ tầng.

Biến thể gốc, được phát hiện vào tháng 9 năm 2024, hoạt động từ một máy chủ lệnh duy nhất và chỉ sử dụng hai lỗ hổng khai thác đã biết nhắm vào thiết bị DVR và bộ định tuyến.

Phiên bản cập nhật của mã độc RondoDox v2 hiện duy trì nhiều máy chủ lệnh được phân phối trên các địa chỉ IP dân dụng bị xâm nhập. Đây là một sự thay đổi chiến thuật làm phức tạp các nỗ lực quy kết và gỡ bỏ cơ sở hạ tầng.

Cơ sở hạ tầng C&C đã mở rộng để bao gồm các địa chỉ sau:

• 74.194.191.52
• 38.59.219.27
• 83.252.42.112
• 89.187.180.101

Sự phân phối này cho thấy hoặc là phân bố địa lý để tăng khả năng phục hồi, hoặc các mục tiêu hoạt động được phân đoạn. Điều này làm cho việc theo dõi và chặn đứng mối đe dọa mạng này trở nên khó khăn hơn.

Mở rộng Vectơ Khai thác và Các Lỗ hổng CVE Mục tiêu

Cảnh quan mối đe dọa hiện nay bao gồm các lỗ hổng CVE kéo dài gần một thập kỷ công bố bảo mật. Mã độc RondoDox v2 nhắm mục tiêu vào nhiều loại thiết bị và ứng dụng:

Các thiết bị phổ biến và lỗ hổng liên quan:

• Bộ định tuyến D-Link: CVE-2015-2051, CVE-2019-16920, CVE-2020-25506.
• GNU Bash ShellShock: CVE-2014-6271.
• Thiết bị Netgear: CVE-2016-6277, CVE-2020-27867, CVE-2024-12847.
• Máy chủ HTTP Apache: CVE-2021-41773, CVE-2021-42013.

Việc đưa vào các lỗ hổng CVE mới nhất như TOTOLINK CVE-2025-1829 và Tenda CVE-2025-7414 cho thấy các hoạt động tình báo lỗ hổng tích cực. Kẻ tấn công nhanh chóng tích hợp các lỗ hổng mới được công bố vào framework khai thác của chúng.

Phần lớn các khai thác sử dụng lỗ hổng chèn lệnh, được phân loại theo CWE-78. Điều này cho phép kẻ tấn công thực thi các lệnh hệ thống tùy ý với tương tác người dùng tối thiểu.

Mục tiêu cấp doanh nghiệp:

Sự mở rộng 650% trong các vectơ khai thác làm thay đổi cơ bản mô hình mối đe dọa. Trong khi RondoDox v1 chủ yếu đe dọa cơ sở hạ tầng IoT tiêu dùng, thì mã độc RondoDox v2 hiện nhắm mục tiêu vào các ứng dụng doanh nghiệp bao gồm:

• Máy chủ ứng dụng WebLogic dễ bị tấn công SOAP injection (CVE-2017-10271).
• Hệ thống lưu trữ QNAP NVR (CVE-2023-47565).
• Cơ sở hạ tầng giám sát Digiever (CVE-2023-52163).

Sự đa dạng hóa này cho thấy sự chuyên nghiệp hóa của các nhà điều hành và khả năng hợp tác với các nhóm tội phạm mạng có tổ chức hoặc các thực thể được nhà nước bảo trợ. Mục tiêu là đạt được phạm vi tiếp cận botnet tối đa để thực hiện các cuộc tấn công mạng quy mô lớn.

Phân tích Dropper và Cơ chế Chống Phân tích

Phân tích script dropper tiết lộ các chiến lược né tránh và tồn tại tinh vi. Shell script thực thi (rondo.dtm.sh) thực hiện loại bỏ đối thủ cạnh tranh một cách mạnh mẽ. Nó tiêu diệt có hệ thống các nhiễm trùng mã độc hiện có, bao gồm cả các miner xmrig và các biến thể botnet đối thủ.

Các cơ chế bỏ qua bảo mật vô hiệu hóa SELinux và AppArmor, loại bỏ các biện pháp bảo vệ cấp kernel quan trọng trước khi mã độc thực thi.

Mã độc cố gắng thực thi trên 16 kiến trúc CPU khác nhau, bao gồm x86_64, i686, các biến thể ARM, MIPS, PowerPC và SPARC. Điều này đảm bảo khả năng tương thích tối đa trên các môi trường cơ sở hạ tầng đa dạng.

Binary được biên dịch thể hiện các đặc tính chống phân tích nâng cao. Liên kết tĩnh tạo ra một tệp thực thi di động độc lập với các thư viện hệ thống, làm phức tạp việc phát hiện và phân tích trong sandbox.

Loại bỏ ký hiệu (symbol stripping) mạnh mẽ che giấu chức năng khỏi các kỹ sư đảo ngược. Trong khi đó, các chuỗi cấu hình được mã hóa XOR che giấu các giao thức giao tiếp C&C và khả năng của mã độc.

Các chuỗi đã giải mã tiết lộ chức năng quan trọng bao gồm khởi tạo giao thức “handshake”, hoạt động DDoS socket thô UDP và phát hiện môi trường ảo hóa.

Binary giám sát mã thoát 137 (SIGKILL), tự động chấm dứt thực thi khi được phát hiện trong các môi trường sandbox hoặc phân tích tự động. Đây là một cơ chế tự bảo vệ tiên tiến của mã độc RondoDox v2.

Khả năng Tấn công DDoS và Né tránh Mạng

Các khả năng DDoS được nhúng trong binary thể hiện chuyên môn về hoạt động mạng tấn công. Mã độc RondoDox v2 có thể triển khai nhiều loại hình tấn công DDoS khác nhau:

• Tấn công tràn HTTP (HTTP flood attacks): Giả lập lưu lượng truy cập trò chơi hợp pháp.
• Tấn công socket thô UDP (UDP raw socket attacks): Tận dụng các cơ chế né tránh dành riêng cho giao thức.
• Tấn công tràn TCP SYN (TCP SYN floods): Sử dụng các kỹ thuật cạn kiệt băng thông cổ điển.

Bắt chước giao thức dưới dạng lưu lượng OpenVPN, WireGuard, các trò chơi của Valve, Minecraft, Fortnite và Discord cho thấy khả năng né tránh mạng tinh vi. Điều này được thiết kế để vượt qua phân tích lưu lượng và các hệ thống phát hiện mối đe dọa nội tuyến.

Chỉ số Thỏa hiệp (Indicators of Compromise – IOCs)

Các tổ chức nên ngay lập tức kiểm tra các chỉ số thỏa hiệp sau liên quan đến mã độc RondoDox v2:

• Địa chỉ IP nguồn phát hiện ban đầu: 124.198.131.83 (New Zealand)
• Địa chỉ IP máy chủ Command and Control (C2):
  • 74.194.191.52
  • 38.59.219.27
  • 83.252.42.112
  • 89.187.180.101
• Chữ ký User-Agent của kẻ tấn công: [email protected]
• Tên shell script độc hại: rondo.dtm.sh

Khuyến nghị Phòng ngừa và Bảo vệ

Các tổ chức nên hành động ngay lập tức để giảm thiểu mối đe dọa mạng từ mã độc RondoDox v2. Điều này bao gồm việc kiểm tra phân đoạn mạng, hạn chế các kết nối đi ra đến các địa chỉ IP C&C đã biết và ưu tiên vá lỗi cho các lỗ hổng CVE nhắm vào cơ sở hạ tầng cụ thể của họ.

Sự kết hợp giữa phạm vi khai thác rộng lớn, nhắm mục tiêu doanh nghiệp và các cơ chế né tránh nâng cao định vị mã độc RondoDox v2 là một mối đe dọa đáng kể. Nó đòi hỏi hành động phòng thủ ngay lập tức trên các tổ chức thuộc mọi quy mô.