CyberThao
Writer
Các nhà nghiên cứu bảo mật cảnh báo mạng botnet RondoDox đang lợi dụng hơn 50 lỗ hổng bảo mật trên hơn 30 nhà cung cấp thiết bị mạng khác nhau.
Theo Trend Micro, chiến dịch này hoạt động theo cách “súng ngắn khai thác” — nghĩa là tấn công diện rộng vào nhiều hệ thống kết nối Internet như bộ định tuyến, đầu ghi video kỹ thuật số (DVR), đầu ghi video mạng (NVR), hệ thống CCTV, máy chủ web và nhiều thiết bị mạng khác.
Trend Micro phát hiện nỗ lực xâm nhập đầu tiên vào ngày 15/6/2025, khi RondoDox khai thác lỗ hổng CVE-2023-1389 trong bộ định tuyến TP-Link Archer, một lỗi đã bị lợi dụng liên tục từ cuối năm 2022.
Trước đó, Fortinet FortiGuard Labs ghi nhận RondoDox lần đầu vào tháng 7/2025, khi nhóm này tấn công các thiết bị DVR TBK và bộ định tuyến Four-Faith để đưa chúng vào mạng botnet. Mục tiêu là thực hiện các cuộc tấn công DDoS (từ chối dịch vụ phân tán) nhắm vào mục tiêu cụ thể thông qua các giao thức HTTP, UDP và TCP.
Trend Micro cho biết, RondoDox gần đây đã mở rộng phạm vi bằng cách sử dụng mô hình “trình tải dưới dạng dịch vụ” (Loader-as-a-Service), kết hợp các tải trọng Mirai/Morte, khiến việc phát hiện và xử lý càng trở nên cấp bách.
Kho công cụ khai thác của RondoDox bao gồm gần 50 lỗ hổng, trong đó 18 lỗ hổng chưa có mã CVE, đến từ các nhà cung cấp nổi tiếng như D-Link, TVT, LILIN, Fiberhome, Linksys, NETGEAR, Cisco, QNAP, Apache, Tenda, Zyxel và nhiều thương hiệu khác.
Các chuyên gia nhận định, đây là bước tiến quan trọng trong khai thác tự động, cho thấy RondoDox không còn dừng ở việc tấn công từng thiết bị riêng lẻ, mà đã chuyển sang mô hình tải đa hướng quy mô lớn.
Cũng trong thời gian này, CloudSEK phát hiện một mạng botnet quy mô toàn cầu phân phối phần mềm RondoDox, Mirai và Morte thông qua các thiết bị bộ định tuyến SOHO, IoT và ứng dụng doanh nghiệp, lợi dụng mật khẩu yếu, dữ liệu đầu vào chưa được kiểm tra và các lỗ hổng cũ.
Trong khi đó, nhà báo an ninh mạng Brian Krebs lưu ý rằng botnet AISURU đang thu hút lượng lớn thiết bị IoT bị xâm nhập, chủ yếu lưu trữ trên hạ tầng của AT&T, Comcast và Verizon (Mỹ). Một quản trị viên có biệt danh Forky, được cho là ở São Paulo (Brazil), có liên hệ với dịch vụ giảm thiểu DDoS Botshield.
AISURU hiện được xem là một trong những mạng botnet lớn nhất, kiểm soát khoảng 300.000 máy chủ bị xâm nhập trên toàn cầu, và đã gây ra nhiều cuộc tấn công DDoS kỷ lục.
Song song đó, công ty GreyNoise cũng phát hiện một chiến dịch botnet phối hợp nhắm vào các dịch vụ Giao thức máy tính từ xa (RDP) tại Mỹ, liên quan đến hơn 100.000 địa chỉ IP duy nhất từ hơn 100 quốc gia.
Chiến dịch này bắt đầu từ 8/10/2025, với lưu lượng tấn công chủ yếu đến từ Brazil, Argentina, Iran, Trung Quốc, Mexico, Nga, Nam Phi và Ecuador.
GreyNoise cho biết các IP tấn công chia sẻ dấu vân tay TCP tương tự, cho thấy sự kiểm soát tập trung và chuyên nghiệp trong hạ tầng botnet này.
Đọc chi tiết tại đây: https://thehackernews.com/2025/10/researchers-warn-rondodox-botnet-is.html
Theo Trend Micro, chiến dịch này hoạt động theo cách “súng ngắn khai thác” — nghĩa là tấn công diện rộng vào nhiều hệ thống kết nối Internet như bộ định tuyến, đầu ghi video kỹ thuật số (DVR), đầu ghi video mạng (NVR), hệ thống CCTV, máy chủ web và nhiều thiết bị mạng khác.
Trend Micro phát hiện nỗ lực xâm nhập đầu tiên vào ngày 15/6/2025, khi RondoDox khai thác lỗ hổng CVE-2023-1389 trong bộ định tuyến TP-Link Archer, một lỗi đã bị lợi dụng liên tục từ cuối năm 2022.
Trước đó, Fortinet FortiGuard Labs ghi nhận RondoDox lần đầu vào tháng 7/2025, khi nhóm này tấn công các thiết bị DVR TBK và bộ định tuyến Four-Faith để đưa chúng vào mạng botnet. Mục tiêu là thực hiện các cuộc tấn công DDoS (từ chối dịch vụ phân tán) nhắm vào mục tiêu cụ thể thông qua các giao thức HTTP, UDP và TCP.
Cơ sở hạ tầng tấn công ngày càng phức tạp
Trend Micro cho biết, RondoDox gần đây đã mở rộng phạm vi bằng cách sử dụng mô hình “trình tải dưới dạng dịch vụ” (Loader-as-a-Service), kết hợp các tải trọng Mirai/Morte, khiến việc phát hiện và xử lý càng trở nên cấp bách.
Kho công cụ khai thác của RondoDox bao gồm gần 50 lỗ hổng, trong đó 18 lỗ hổng chưa có mã CVE, đến từ các nhà cung cấp nổi tiếng như D-Link, TVT, LILIN, Fiberhome, Linksys, NETGEAR, Cisco, QNAP, Apache, Tenda, Zyxel và nhiều thương hiệu khác.
Các chuyên gia nhận định, đây là bước tiến quan trọng trong khai thác tự động, cho thấy RondoDox không còn dừng ở việc tấn công từng thiết bị riêng lẻ, mà đã chuyển sang mô hình tải đa hướng quy mô lớn.
Cũng trong thời gian này, CloudSEK phát hiện một mạng botnet quy mô toàn cầu phân phối phần mềm RondoDox, Mirai và Morte thông qua các thiết bị bộ định tuyến SOHO, IoT và ứng dụng doanh nghiệp, lợi dụng mật khẩu yếu, dữ liệu đầu vào chưa được kiểm tra và các lỗ hổng cũ.
Trong khi đó, nhà báo an ninh mạng Brian Krebs lưu ý rằng botnet AISURU đang thu hút lượng lớn thiết bị IoT bị xâm nhập, chủ yếu lưu trữ trên hạ tầng của AT&T, Comcast và Verizon (Mỹ). Một quản trị viên có biệt danh Forky, được cho là ở São Paulo (Brazil), có liên hệ với dịch vụ giảm thiểu DDoS Botshield.
AISURU hiện được xem là một trong những mạng botnet lớn nhất, kiểm soát khoảng 300.000 máy chủ bị xâm nhập trên toàn cầu, và đã gây ra nhiều cuộc tấn công DDoS kỷ lục.
Song song đó, công ty GreyNoise cũng phát hiện một chiến dịch botnet phối hợp nhắm vào các dịch vụ Giao thức máy tính từ xa (RDP) tại Mỹ, liên quan đến hơn 100.000 địa chỉ IP duy nhất từ hơn 100 quốc gia.
Chiến dịch này bắt đầu từ 8/10/2025, với lưu lượng tấn công chủ yếu đến từ Brazil, Argentina, Iran, Trung Quốc, Mexico, Nga, Nam Phi và Ecuador.
GreyNoise cho biết các IP tấn công chia sẻ dấu vân tay TCP tương tự, cho thấy sự kiểm soát tập trung và chuyên nghiệp trong hạ tầng botnet này.
Đọc chi tiết tại đây: https://thehackernews.com/2025/10/researchers-warn-rondodox-botnet-is.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
