មេរោគ RondoDox Botnet ទាញយកប្រយោជន៍ពីចំណុចខ្សោយ React2Shell ដ៏សំខាន់ ដើម្បីប្លន់ឧបករណ៍ IoT និងម៉ាស៊ីនមេគេហទំព័រ

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានបង្ហាញព័ត៌មានលម្អិតនៃយុទ្ធនាការរយៈពេលប្រាំបួនខែដែលបានកំណត់គោលដៅឧបករណ៍ Internet of Things (IoT) និងកម្មវិធីគេហទំព័រដើម្បីចុះឈ្មោះពួកវាទៅក្នុង botnet ដែលគេស្គាល់ថា RondoDox។

គិតត្រឹមខែធ្នូ ឆ្នាំ 2025 សកម្មភាពនេះត្រូវបានគេសង្កេតឃើញទាញយកអត្ថប្រយោជន៍ពីចំណុចខ្សោយ React2Shell (CVE-2025-55182, CVSS score: 10.0) ដែលទើបនឹងបង្ហាញថ្មីៗនេះជាវ៉ិចទ័រចូលប្រើដំបូង នេះបើយោងតាមការវិភាគរបស់ CloudSEK។

React2Shell គឺជាឈ្មោះដែលបានកំណត់ទៅចំណុចខ្សោយសុវត្ថិភាពដ៏សំខាន់មួយនៅក្នុង React Server Components (RSC) និង Next.js ដែលអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារដែលមិនបានផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវសម្រេចបាននូវការប្រតិបត្តិកូដពីចម្ងាយលើឧបករណ៍ដែលងាយរងគ្រោះ។

យោងតាមស្ថិតិពីមូលនិធិ Shadowserver មានឧទាហរណ៍ប្រហែល 90,300 ដែលនៅតែងាយរងគ្រោះគិតត្រឹមថ្ងៃទី 31 ខែធ្នូ ឆ្នាំ 2025 ដែលក្នុងនោះ 68,400 ឧទាហរណ៍មានទីតាំងនៅសហរដ្ឋអាមេរិក បន្ទាប់មកគឺអាល្លឺម៉ង់ (4,300) បារាំង (2,800) និងឥណ្ឌា (1,500)។

RondoDox ដែលបានលេចចេញនៅដើមឆ្នាំ 2025 បានពង្រីកវិសាលភាពរបស់ខ្លួនដោយបន្ថែមភាពងាយរងគ្រោះសន្តិសុខ N-day ថ្មីទៅក្នុងឃ្លាំងអាវុធរបស់ខ្លួន រួមទាំង CVE-2023-1389 និង CVE-2025-24893។ គួរកត់សម្គាល់ថាការរំលោភបំពាន React2Shell ដើម្បីរីករាលដាល botnet ត្រូវបានគូសបញ្ជាក់ពីមុនដោយ Darktrace, Kaspersky និង VulnCheck។

យុទ្ធនាការ botnet RondoDox ត្រូវបានវាយតម្លៃថាបានឆ្លងកាត់ដំណាក់កាលបីផ្សេងគ្នាមុនពេលការកេងប្រវ័ញ្ច CVE-2025-55182 -

-ខែមីនា - មេសា ឆ្នាំ២០២៥ - ការឈ្លបយកការណ៍ដំបូង និងការស្កេនភាពងាយរងគ្រោះដោយដៃ

-មេសា - មិថុនា ឆ្នាំ២០២៥ - ការស៊ើបអង្កេតភាពងាយរងគ្រោះប្រចាំថ្ងៃរបស់កម្មវិធីគេហទំព័រដូចជា WordPress, Drupal និង Struts2 និងឧបករណ៍ IoT ដូចជារ៉ោតទ័រ Wavlink

-កក្កដា - ដើមខែធ្នូ ឆ្នាំ២០២៥ - ការដាក់ពង្រាយដោយស្វ័យប្រវត្តិរៀងរាល់ម៉ោងក្នុងទ្រង់ទ្រាយធំ

នៅក្នុងការវាយប្រហារដែលត្រូវបានរកឃើញនៅក្នុងខែធ្នូ ឆ្នាំ២០២៥ អ្នកគំរាមកំហែងត្រូវបានគេនិយាយថាបានផ្តួចផ្តើមការស្កេនដើម្បីកំណត់អត្តសញ្ញាណម៉ាស៊ីនមេ Next.js ដែលងាយរងគ្រោះ បន្ទាប់មកដោយការប៉ុនប៉ងទម្លាក់អ្នករុករករូបិយប័ណ្ណគ្រីបតូ ("/nuts/poop") ឧបករណ៍ផ្ទុក botnet និងឧបករណ៍ពិនិត្យសុខភាព ("/nuts/bolts") និងវ៉ារ្យ៉ង់ botnet Mirai ("/nuts/x86") នៅលើឧបករណ៍ដែលឆ្លងមេរោគ។

"/nuts/bolts" ត្រូវបានរចនាឡើងដើម្បីបញ្ចប់មេរោគ និងកម្មវិធីជីកយកកាក់ដែលប្រកួតប្រជែង មុនពេលទាញយកប្រព័ន្ធគោលពីរ bot សំខាន់ពីម៉ាស៊ីនមេ command-and-control (C2) របស់វា។ ឧបករណ៍បំរែបំរួលមួយត្រូវបានគេរកឃើញថាអាចលុប botnet ដែលគេស្គាល់ payloads ដែលមានមូលដ្ឋានលើ Docker វត្ថុបុរាណដែលនៅសេសសល់ពីយុទ្ធនាការមុនៗ និងការងារ cron ដែលពាក់ព័ន្ធ ខណៈពេលដែលក៏កំពុងរៀបចំការបន្តប្រើប្រាស់ "/etc/crontab"។

CloudSEK បាននិយាយថា "វាស្កេន /proc ជាបន្តបន្ទាប់ដើម្បីរាប់បញ្ចូលឯកសារដែលអាចប្រតិបត្តិបានដែលកំពុងដំណើរការ និងសម្លាប់ដំណើរការដែលមិនមែនជា whitelisted រៀងរាល់ ~45 វិនាទីម្តង ដោយការពារការឆ្លងឡើងវិញដោយតួអង្គគូប្រជែងប្រកបដោយប្រសិទ្ធភាព"។

ដើម្បីកាត់បន្ថយហានិភ័យដែលបង្កឡើងដោយការគំរាមកំហែងនេះ អង្គការនានាត្រូវបានណែនាំឱ្យធ្វើបច្ចុប្បន្នភាព Next.js ទៅជាកំណែដែលបានជួសជុលឱ្យបានឆាប់តាមដែលអាចធ្វើទៅបាន បំបែកឧបករណ៍ IoT ទាំងអស់ទៅជា VLAN ដែលឧទ្ទិស ដាក់ពង្រាយ Web Application Firewalls (WAFs) តាមដានការប្រតិបត្តិដំណើរការគួរឱ្យសង្ស័យ និងរារាំងហេដ្ឋារចនាសម្ព័ន្ធ C2 ដែលគេស្គាល់។