حذر باحثون في الأمن السيبراني من حملة برمجيات خبيثة جديدة تستهدف ثغرات أمنية في أجهزة تسجيل الفيديو الرقمية (DVR) من نوع “TBK” وموجهات “Four-Faith” لضمها إلى بوت نت يُعرف باسم “RondoDox”. من بين الثغرات المستغلة CVE-2024-3721 في أجهزة “TBK DVR-4104” و”DVR-4216″، وCVE-2024-12856 في موجهات “Four-Faith” طراز “F3x24″ و”F3x36”.
كيف تعمل هذه الهجمات؟
تستهدف هذه الحملة أجهزة تُستخدم في بيئات حساسة مثل المتاجر والمستودعات والمكاتب الصغيرة، حيث تظل دون مراقبة لسنوات. يستغل المهاجمون ضعف تحديث البرامج الثابتة أو إعدادات المنافذ غير الآمنة لاختراق الأجهزة وتحويلها إلى جزء من البوت نت. تم رصد الثغرات نفسها سابقًا في هجمات تنشر متغيرات من بوت نت “ميراي”.
إمكانيات البوت نت الخطيرة
يتميز “RondoDox” بقدرته على محاكاة حركة مرور منصات الألعاب وخوادم الـVPN لتجنب الكشف. لا يقتصر دور الأجهزة المخترقة على كونها عقدًا في البوت نت، بل تُستخدم أيضًا كوكلاء خفيين لإخفاء اتصالات التحكم، وتنفيذ عمليات احتيال متعددة الطبقات، أو تعزيز هجمات حجب الخدمة المدفوعة.
آليات التخفي والاستمرارية
ينتشر البوت نت عبر سكريبت يحمّل ملفًا تنفيذيًا متوافقًا مع معماريات متعددة مثل ARM وMIPS وx86. يقوم البرنامج الخبيث بتعطيل إشارات إنهاء العمليات في أنظمة لينكس، ويمنع أدوات تحليل الشبكة مثل “Wireshark”، ويحذف سجلات الأوامر لإخفاء آثاره. كما يُعدل أسماء ملفات تنفيذية أساسية مثل “iptables” و”passwd” لإعاقة جهود الاسترداد.
