{"id":8793,"date":"2026-01-03T12:25:22","date_gmt":"2026-01-03T11:25:22","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=8793"},"modified":"2026-01-03T12:25:22","modified_gmt":"2026-01-03T11:25:22","slug":"rondodox-botnet-iskoristava-react2shell-ranjivost-cve-2025-55182","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2026\/01\/03\/rondodox-botnet-iskoristava-react2shell-ranjivost-cve-2025-55182\/","title":{"rendered":"RondoDox botnet iskori\u0161tava React2Shell ranjivost (CVE-2025-55182)"},"content":{"rendered":"<p><a href=\"https:\/\/sajberinfo.com\/en\/2025\/10\/12\/rondodox-botnet-cilja-preko-50-ranjivosti\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>RondoDox botnet<\/em><\/a> kampanja koristi <em>React2Shell<\/em> ranjivost ozna\u010denu kao <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2023-1389\" target=\"_blank\" rel=\"noopener\"><em>CVE-2023-1389<\/em><\/a>, kao i ranjivosti nastale zbog zaka\u0161njele primjene ispravke (eng. <em>n-day vulnerabilities<\/em>), pokazuje <a href=\"https:\/\/www.cloudsek.com\/blog\/rondodox-botnet-weaponizes-react2shell\" target=\"_blank\" rel=\"noopener\">istra\u017eivanje<\/a> kompanije <em>CloudSEK<\/em>. Ove slabosti se iskori\u0161tavaju za \u0161irenje <a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/24\/botnet\/\" target=\"_blank\" rel=\"noopener\"><em>botnet<\/em> <\/a>mre\u017ee preko ranjivih internet aplikacija i internet stvari (eng. <em>internet of things &#8211; IoT<\/em>) ure\u0111aja, \u0161to nagla\u0161ava stalnu opasnost od evoluiraju\u0107eg arsenala ove prijetnje.<\/p>\n<div id=\"attachment_8794\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-8794\" class=\"size-full wp-image-8794\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/01\/RondoDox-botnet.jpg\" alt=\"RondoDox\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/01\/RondoDox-botnet.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/01\/RondoDox-botnet-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/01\/RondoDox-botnet-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/01\/RondoDox-botnet-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/01\/RondoDox-botnet-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/01\/RondoDox-botnet-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/01\/RondoDox-botnet-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-8794\" class=\"wp-caption-text\">RondoDox botnet iskori\u0161tava React2Shell ranjivost (CVE-2025-55182); Source: Bing Image Creator<\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2026\/01\/03\/rondodox-botnet-iskoristava-react2shell-ranjivost-cve-2025-55182\/#RONDODOX_BOTNET_KAMPANJA\">RONDODOX BOTNET KAMPANJA<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2026\/01\/03\/rondodox-botnet-iskoristava-react2shell-ranjivost-cve-2025-55182\/#React2Shell_Ranjivost\">React2Shell Ranjivost<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2026\/01\/03\/rondodox-botnet-iskoristava-react2shell-ranjivost-cve-2025-55182\/#Visestepeni_lanac_infekcije\">Vi\u0161estepeni lanac infekcije<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2026\/01\/03\/rondodox-botnet-iskoristava-react2shell-ranjivost-cve-2025-55182\/#Komunikacija\">Komunikacija<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2026\/01\/03\/rondodox-botnet-iskoristava-react2shell-ranjivost-cve-2025-55182\/#Analiza_ciljeva_i_ugrozavanja\">Analiza ciljeva i ugro\u017eavanja<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2026\/01\/03\/rondodox-botnet-iskoristava-react2shell-ranjivost-cve-2025-55182\/#RONDODOX_BOTNET_PROFIL\">RONDODOX BOTNET PROFIL<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2026\/01\/03\/rondodox-botnet-iskoristava-react2shell-ranjivost-cve-2025-55182\/#UTICAJ\">UTICAJ<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sajberinfo.com\/en\/2026\/01\/03\/rondodox-botnet-iskoristava-react2shell-ranjivost-cve-2025-55182\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/sajberinfo.com\/en\/2026\/01\/03\/rondodox-botnet-iskoristava-react2shell-ranjivost-cve-2025-55182\/#PREPORUKE\">PREPORUKE<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"RONDODOX_BOTNET_KAMPANJA\"><\/span><strong><em>RONDODOX BOTNET<\/em> KAMPANJA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Pojava <em>RondoDox<\/em> <em>botnet<\/em> mre\u017ee po\u010detkom 2025. godine ozna\u010dila je zna\u010dajan razvoj u oblasti zloupotreba i <em>botnet<\/em> operacija. Kampanju karakteri\u0161e \u0161irok opseg ciljanja, obuhvataju\u0107i organizacije i pojedince koji koriste aplikacije <em>Next.js<\/em> okrenute ka internetu i internet stvari (<em>IoT<\/em>) ure\u0111aje. Pogo\u0111eni sektori uklju\u010duju tehnologiju, finansijske usluge, zdravstvo, obrazovanje i dobavlja\u010de usluga u oblaku.<\/p>\n<p>Lanac napada <em>RondoDox<\/em> mre\u017ee je potpuno automatizovan, sa izvi\u0111anjem, napadom i isporukom <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisnog tereta<\/a> orkestriranim putem distribuirane infrastrukture za skeniranje. Ovaj nivo automatizacije omogu\u0107io je kampanji brzo \u0161irenje, sa fokusom na maksimalno kori\u0161tenje resursa za rudarenje kriptovaluta i dalju infekciju. Klju\u010dnu ulogu u tome ima komponenta za <em>botnet<\/em> u\u010ditavanje, koja agresivno uklanja konkurentski zlonamjerni softver.<\/p>\n<p>Uklanjanje konkurentskog <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a> osigurava potpunu kontrolu nad resursima i omogu\u0107ava kampanji da zadr\u017ei nadzor nad ugro\u017eenim sistemima, olak\u0161avaju\u0107i stalno iskori\u0161tavanje i \u0161irenje. Komponenta za <em>botnet<\/em> u\u010ditavanje dodatno obezbje\u0111uje trajnost na inficiranim ure\u0111ajima mijenjanjem sistemskih pode\u0161avanja i zakazivanjem zadataka.<\/p>\n<p>\u0160irenje <em>RondoDox<\/em> mre\u017ee izvan tradicionalnih internet servera posebno je zna\u010dajno, jer ugro\u017eava mre\u017eno povezane skladi\u0161ta podataka (eng. <em>network-attached storage \u2013 NAS<\/em>), <em>IP<\/em> kamere i \u0161tampa\u010de koji koriste ugra\u0111ene <em>Next.js<\/em> ili <em>React<\/em> komponente. Ova raznovrsnost pove\u0107ala je domet i uticaj kampanje, \u010dine\u0107i je ozbiljnom prijetnjom i za organizacije i za pojedince.<\/p>\n<p>Oslanjanje na javno dostupan k\u00f4d za napade sa <em>GitHub<\/em> platforme i <em>Openwall<\/em> <em>Security<\/em> <em>Mailing<\/em> liste dodatno je ubrzalo tempo zloupotreba. Dostupnost takvog k\u00f4da olak\u0161ala je uklju\u010divanje i kriminalnih i dr\u017eavnih aktera u kampanju, poja\u010davaju\u0107i njen uticaj.<\/p>\n<p>Primije\u0107eno je da <em>RondoDox<\/em> cilja <em>Next.js<\/em> servere i internet stvari (<em>IoT<\/em>) ure\u0111aje, uklju\u010duju\u0107i <em>Linksys<\/em> i <em>Wavlink<\/em> rutere, sa u\u010destalim talasima poku\u0161aja napada tokom prve nedjelje. Fondacija <em>Shadowserver<\/em> <a href=\"https:\/\/dashboard.shadowserver.org\/statistics\/combined\/time-series\/?date_range=7&amp;source=http_vulnerable&amp;source=http_vulnerable6&amp;tag=cve-2025-55182%2B&amp;dataset=unique_ips&amp;limit=100&amp;group_by=tag&amp;stacking=stacked&amp;auto_update=on\" target=\"_blank\" rel=\"noopener\">izvijestila<\/a> je da je do 30. decembra 2025. godine vi\u0161e od 94.000 ranjivih sistema bilo izlo\u017eeno internetu.<\/p>\n<p>Dodavanje ranjivosti <em>CVE-2025-55182<\/em> u katalog poznatih ranjivosti svega nekoliko dana nakon otkrivanja nagla\u0161ava hitnu potrebu za otklanjanjem problema na pogo\u0111enim sistemima. Ova akcija jasno isti\u010de va\u017enost blagovremenog ispravljanja propusta kako bi se sprije\u010dila zloupotreba od strane kampanja poput <em>RondoDox<\/em>.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"React2Shell_Ranjivost\"><\/span><strong><em>React2Shell<\/em> Ranjivost<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Ranjivost <em>React2Shell<\/em> (<em>CVE-2025-55182<\/em>) predstavlja kriti\u010dnu gre\u0161ku u komponentama <em>React<\/em> servera, nastalu zbog nebezbjednog pretvaranja nepouzdanih podataka u unutra\u0161nje strukture sistema. <em>React<\/em> server komponente su osmi\u0161ljene da omogu\u0107e prikazivanje sadr\u017eaja na strani servera, \u010dime programerima daju mogu\u0107nost izrade dinami\u010dkih internet aplikacija sa boljim performansama i ve\u0107om prilagodljivo\u0161\u0107u.<\/p>\n<p>Ipak, kao i kod svakog slo\u017eenog softverskog sistema, propusti se mogu pojaviti prilikom obrade korisni\u010dkog unosa ili nepouzdanih podataka. U slu\u010daju <em>React2Shell<\/em>, gre\u0161ka se aktivira <em>HTTP<\/em> zahtjevima ka krajnjim ta\u010dkama <em>Server<\/em> <em>Function<\/em> koji sadr\u017ee zlonamjerna optere\u0107enja.<\/p>\n<p>Obrada podataka odvija se u okviru <em>Next.js<\/em> servera, \u0161to omogu\u0107ava proizvoljno izvr\u0161avanje k\u00f4da na pogo\u0111enim sistemima. Time zlonamjerni akter mo\u017ee da ubaci i pokrene zlonamjerni k\u00f4d bez potrebe za dodatnim privilegijama ili pravima pristupa.<\/p>\n<p>Detaljna analiza pokazuje da ranjivost poga\u0111a <em>React<\/em> <em>Server<\/em> <em>Components<\/em> verzije od <em>19.0.0<\/em> do <em>19.2.0<\/em>, kao i <em>Next.js<\/em> verzije od <em>15.0.0<\/em> do <em>16.0.6<\/em>, uklju\u010duju\u0107i sve <em>Canary<\/em> izdanja i povezane pakete poput <em>react-server-dom-parcel<\/em>, <em>react-server-dom-turbopack<\/em> i <em>react-server-dom-webpack<\/em>.<\/p>\n<p>Osnova problema le\u017ei u na\u010dinu na koji <em>React<\/em> <em>Server<\/em> <em>Components<\/em> obra\u0111uju nepouzdane podatke. Kada se uputi <em>HTTP<\/em> zahtjev ka <em>Server<\/em> <em>Function<\/em> ta\u010dki sa zlonamjernim optere\u0107enjem, ono se ne provjerava niti se \u010disti prije izvr\u0161avanja u okviru <em>Next.js<\/em> server procesa.<\/p>\n<p>Ovaj nedostatak provjere otvara mogu\u0107nost da zlonamjerni akteri ubace i pokrenu proizvoljni k\u00f4d na pogo\u0111enim sistemima. Posljedice su ozbiljne, jer ranjivost omogu\u0107ava neovla\u0161teni pristup osjetljivim podacima, prekid rada sistema ili \u010dak preuzimanje kontrole nad \u010ditavim mre\u017eama.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Visestepeni_lanac_infekcije\"><\/span><strong>Vi\u0161estepeni lanac infekcije<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Nakon uspje\u0161nog iskori\u0161tavanja ranjivosti <em>React2Shell<\/em>, primjenjuje se napredni zlonamjerni softver <em>RondoDox<\/em>. Ovo se odvija kroz vi\u0161estepeni lanac infekcije sastoji se od vi\u0161e komponenti osmi\u0161ljenih da uspostave postojanost i obezbijede potpunu kontrolu nad pogo\u0111enim sistemima.<\/p>\n<p>Po\u010detni korisni teret, obi\u010dno preuzet iz \u010dvrsto kodiranog <em>URI<\/em> kao \u0161to je <em>\/nuts\/bolts<\/em>, slu\u017ei kao program za u\u010ditavanje i provjeru <em>botnet<\/em> ispravnosti. Jedna od njegovih glavnih funkcija jeste izmjena <em>crontab<\/em> datoteke sistema kako bi se osiguralo pokretanje pri ponovnom pokretanju. Ovaj mehanizam postojanosti garantuje da \u0107e zlonamjerni softver nastaviti da radi i nakon \u0161to je po\u010detni napad zavr\u0161en.<\/p>\n<p>Pored toga, komponenta sprovodi mehanizam stavljanja procesa na dozvoljenu listu (eng. <em>whitelisting<\/em>). Svakih 45 sekundi prekida procese koji nisu dio <em>botnet<\/em> mre\u017ee, nastoje\u0107i da zadr\u017ei potpunu kontrolu nad sistemskim resursima i sprije\u010di ometanje od strane legitimnih aplikacija ili bezbjednosnog softvera.<\/p>\n<p>Sekundarni korisni teret koji raspore\u0111uje <em>RondoDox<\/em> uklju\u010duje program za rudarenje i varijantu <a href=\"https:\/\/sajberinfo.com\/en\/2025\/02\/16\/mirai-botnet-iskoristava-ruter-ranjivosti\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>Mirai<\/em><\/a>. Oba se izvr\u0161avaju u memoriji, \u0161to im omogu\u0107ava da izbjegnu otkrivanje putem tradicionalnih metoda zasnovanih na disku. Program za rudarenje koristi sistemske resurse za proizvodnju kriptovalute <em>Monero<\/em>.<\/p>\n<p>Istovremeno, varijanta <em>Mirai<\/em> skenira dodatne ranjive ure\u0111aje unutar mre\u017ee, \u0161ire\u0107i <em>botnet<\/em> bo\u010dno i pove\u0107avaju\u0107i njegov domet. Ovaj na\u010din \u0161irenja omogu\u0107ava <em>RondoDox<\/em> <em>botnet<\/em> mre\u017ei da se brzo pro\u0161iri, \u0161to je \u010dini sve te\u017eom za obuzdavanje ili uklanjanje nakon \u0161to se jednom uspostavi.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Komunikacija\"><\/span><strong>Komunikacija<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Komunikacija komandovanja i upravljanja (<em>C2<\/em>) predstavlja klju\u010dni dio svake operacije zlonamjernog softvera, jer omogu\u0107ava zlonamjernim akterima da izdaju komande, primaju obavje\u0161tenja i odr\u017eavaju koordinaciju. U slu\u010daju <em>RondoDox<\/em> <em>botnet<\/em> mre\u017ee, <em>C2<\/em> komunikacija se odvija preko <em>HTTP<\/em>\/<em>HTTPS<\/em> protokola uz \u010deste promjene infrastrukture, osmi\u0161ljene da se izbjegne stavljanje na crnu listu.<\/p>\n<p><em>Botnet<\/em> koristi algoritme za formiranje domena (eng. <em>domain generation algorithms \u2013 DGA<\/em>) zajedno sa \u010dvrsto kodiranim <em>IP<\/em> adresama kako bi olak\u0161ao proces komunikacije. Ovakav pristup omogu\u0107ava <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernim akterima<\/a> da formiraju veliki broj domena i <em>IP<\/em> adresa koje se koriste za komandovanje i upravljanje, \u0161to timovima za bezbjednost znatno ote\u017eava pra\u0107enje i blokiranje.<\/p>\n<p>Neke od \u010dvrsto k\u00f4diranih <em>IP<\/em> adresa povezanih sa <em>RondoDox<\/em> <em>botnet<\/em> mre\u017eom uklju\u010duju <em>74.194.191.52<\/em>, <em>70.184.13.47<\/em> i <em>41.231.37.153.<\/em> Ove adrese se vjerovatno koriste kao serveri komandovanja i upravljanja unutar infrastrukture <em>botnet<\/em> mre\u017ee.<\/p>\n<p>Znaci mogu\u0107e infekcije <em>RondoDox botnet<\/em> mre\u017eom mogu se uo\u010diti kroz neuobi\u010dajeno pokretanje procesa iz direktorijuma <em>\/tmp<\/em>, \/<em>dev<\/em>\/<em>shm<\/em> i \/<em>dev<\/em>. Pored toga, \u010desta upotreba komandi <em>chmod<\/em> <em>755<\/em>\/<em>777<\/em> mo\u017ee ukazivati da zlonamjerni akter poku\u0161ava da izmijeni sistemske dozvole ili pove\u0107a privilegije u pogo\u0111enom okru\u017eenju.<\/p>\n<p>Izlazne veze koje ne poti\u010du iz internet pregleda\u010da, a usmjerene su prema neprepoznatim <em>IP<\/em> adresama, mogu predstavljati znak aktivnosti <em>RondoDox botnet<\/em> mre\u017ee. Takva komunikacija \u010desto ukazuje na saobra\u0107aj komandovanja i upravljanja, \u0161to zna\u010di da zara\u017eeni proces odr\u017eava vezu sa spoljnim serverima radi novih uputstava ili a\u017euriranja.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Analiza_ciljeva_i_ugrozavanja\"><\/span><strong>Analiza ciljeva i ugro\u017eavanja<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Uo\u010deno je da kampanja <em>RondoDox<\/em> <em>botnet<\/em> mre\u017ee pokazuje \u0161iroke mogu\u0107nosti ciljanja, \u0161to operaterima <em>botnet<\/em> mre\u017ee omogu\u0107ava da iskoriste ve\u0107i broj ranjivosti i time dovedu do masovnog ugro\u017eavanja potro\u0161a\u010dkih ure\u0111aja.<\/p>\n<p>Klju\u010dni dio ove strategije jeste napad na sektore koji se u velikoj mjeri oslanjaju na tehnologiju, poput finansijskih usluga, zdravstva, obrazovanja i dobavlja\u010da usluga u oblaku. Ove organizacije \u010desto imaju slo\u017eene infrastrukture sa vi\u0161e ulaznih ta\u010daka za zlonamjerne aktere, \u0161to ih \u010dini privla\u010dnim metama za operatere <em>RondoDox<\/em> <em>botnet<\/em> mre\u017ee koji \u017eele da dobiju pristup osjetljivim podacima ili da poremete klju\u010dne funkcije. Masovno ugro\u017eavanje potro\u0161a\u010dkih ure\u0111aja posebno je izra\u017eeno u regionima gdje su <em>Next.js<\/em> i <em>React<\/em> okviri \u0161iroko prihva\u0107eni.<\/p>\n<p>Geografski posmatrano, napadi su prijavljeni u vi\u0161e zemalja, uklju\u010duju\u0107i Sjedinjene Ameri\u010dke Dr\u017eave, Kinu i druge dijelove svijeta u organizacijama sa izlo\u017eenom infrastrukturom. Globalni domet <em>RondoDox<\/em> <em>botnet<\/em> mre\u017ee nagla\u0161ava njen potencijal da izazove rasprostranjene poreme\u0107aje i preuzme resurse.<\/p>\n<p>Neselektivna priroda mehanizama skeniranja i napada <em>botnet<\/em> mre\u017ee pove\u0107ava rizik od <a href=\"https:\/\/sajberinfo.com\/en\/2023\/11\/09\/lateral-movement\/\" target=\"_blank\" rel=\"nofollow noopener\">bo\u010dnog kretanja<\/a> unutar ugro\u017eenih mre\u017ea. To zna\u010di da kada zlonamjerni akter dobije pristup jednom sistemu ili mre\u017ei, mo\u017ee se dalje kretati preko povezanih sistema, dodatno ugro\u017eavaju\u0107i osjetljive podatke i ometaju\u0107i klju\u010dne funkcije.<\/p>\n<p>Dodatno, \u010dinjenica da su sjevernokorejske <a href=\"https:\/\/sajberinfo.com\/en\/2020\/12\/08\/apt-sponzorisani-napadi\/\" target=\"_blank\" rel=\"nofollow noopener\">napredne trajne prijetnje<\/a> (eng. <em>advanced persistent threat \u2013 APT<\/em>) iskoristile <em>React2Shell<\/em> za primjenu <em>EtherRAT<\/em> zlonamjernog softvera u svrhe \u0161pijuna\u017ee pokazuje ranjivost ovih okvira na napredne napade. Sli\u010dno tome, grupe povezane sa Kinom pokrenule su napade u roku od nekoliko sati od javnog otkrivanja, ciljaju\u0107i i javne i privatne subjekte sa visokim stepenom preciznosti.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"RONDODOX_BOTNET_PROFIL\"><\/span><strong><em>RONDODOX<\/em> <em>BOTNET <\/em>PROFIL<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><em>RondoDox<\/em> <em>botnet<\/em> je zabilje\u017een kao zna\u010dajan zlonamjerni akter u sajber prijetnjama od jula 2025. godine. Njegova strategija zasniva se na oportunisti\u010dkom i visoko automatizovanom iskori\u0161tavanju ranjivosti nastalih zbog zaka\u0161njele primjene ispravki u programskim okvirima za internet aplikacije i internet stvari (<em>IoT<\/em>) ure\u0111aje. Takvi propusti, iako otkriveni, \u010desto ostaju neotklonjeni od strane proizvo\u0111a\u010da, \u0161to omogu\u0107ava brzu i \u0161iroku distribuciju zlonamjernih korisnih tereta.<\/p>\n<p>Modularna arhitektura <em>botnet<\/em> mre\u017ee daje mu sposobnost prilago\u0111avanja razli\u010ditim okru\u017eenjima i tipovima ure\u0111aja, raspore\u0111uju\u0107i raznovrsne korisne terete u skladu sa ciljem. Time se obezbje\u0111uje otpornost na sigurnosne mjere i dugotrajna djelotvornost, uz stalnu mogu\u0107nost prilago\u0111avanja novim prijetnjama u ekosistemu internet aplikacija i internet stvari (<em>IoT<\/em>) ure\u0111aja.<\/p>\n<p>Operateri <em>RondoDox<\/em> <em>botnet <\/em>mre\u017ee primjenjuju napredne mjere operativne sigurnosti koje dodatno nagla\u0161avaju njegovu snagu. Rotacija infrastrukture radi izbjegavanja otkrivanja, odobravanje procesa radi prikrivanja prisustva i uklanjanje konkurentskog zlonamjernog softvera omogu\u0107avaju odr\u017eavanje prikrivenog <em>botnet <\/em>karaktera. Ovakve taktike ukazuju na operatere sa znanjem i resursima, a istovremeno predstavljaju uzor drugim zlonamjernim akterima koji te\u017ee nevidljivosti.<\/p>\n<p>Pripisivanje odgovornosti za <em>RondoDox<\/em> <em>botnet<\/em> ostaje nejasno, ali dostupni dokazi ukazuju na dobro organizovan kriminalni sindikat. Ponovna upotreba k\u00f4da i infrastrukture poznate iz drugih <em>botnet<\/em> porodica dodatno potvr\u0111uje ovu pretpostavku. Istovremeno, ranjivosti poput <em>React2Shell<\/em> iskori\u0161tavaju i napredne trajne prijetnje (<em>APT<\/em>) povezane sa Sjevernom Korejom i Kinom, \u0161to pokazuje njihovu privla\u010dnost i vrijednost kako za kriminalne grupe, tako i za dr\u017eavne aktere sa strate\u0161kim ciljevima. Ova kombinacija jasno ukazuje na dvostruku ulogu ranjivosti i potrebu za njihovim pravovremenim ispravkama.<\/p>\n<p><em>RondoDox botnet<\/em> se time pokazuje kao adaptivan sistem koji ne samo da predstavlja direktnu prijetnju, ve\u0107 postavlja obrasce koje drugi zlonamjerni akteri mogu slijediti, pove\u0107avaju\u0107i rizik od \u0161irenja sli\u010dnih prijetnji u budu\u0107nosti.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"UTICAJ\"><\/span><strong>UTICAJ<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><em>RondoDox botnet<\/em> kampanja pokazala je da digitalni napadi ne ostaju zatvoreni u tehni\u010dkom domenu, ve\u0107 se direktno odra\u017eavaju na svakodnevni \u017eivot korisnika i poslovanje organizacija. Njena snaga le\u017ei u tome \u0161to istovremeno poga\u0111a li\u010dne ure\u0111aje i slo\u017eene mre\u017ene sisteme, ostavljaju\u0107i posljedice koje se te\u0161ko mogu otkloniti.<\/p>\n<p>Za korisnike, posljedice se vide kroz gubitak funkcionalnosti ure\u0111aja, usporen rad i prekide u osnovnim digitalnim uslugama. Ruteri, kamere i \u0161tampa\u010di pretvoreni u dio <em>botnet<\/em> mre\u017ee postaju izvor problema, a tro\u0161kovi popravke ili zamjene padaju na teret vlasnika. Jo\u0161 ozbiljnije, korisnici ostaju izlo\u017eeni kra\u0111i podataka i naru\u0161avanju privatnosti, \u0161to stvara trajnu nesigurnost i nepovjerenje u tehnologiju koju svakodnevno koriste.<\/p>\n<p>Organizacije se suo\u010davaju sa vi\u0161estrukim posljedicama. Napadi dovode do prekida poslovanja, gubitka prihoda i naru\u0161avanja ugleda. Resursi se iscrpljuju kada se sistemi koriste za rudarenje kriptovaluta ili \u0161irenje zlonamjernog softvera, dok klijenti gube povjerenje u kompanije koje nisu uspjele da za\u0161tite svoje mre\u017ee. Posebno su pogo\u0111eni sektori tehnologije, finansija, zdravstva, obrazovanja i usluga u oblaku, gdje svaki prekid zna\u010di direktan udar na poslovanje i reputaciju.<\/p>\n<p>Geografski obuhvat kampanje pokazuje da problem nije ograni\u010den na jednu zemlju. U Sjedinjenim Ameri\u010dkim Dr\u017eavama prijavljeno je 68.400 ranjivih instanci, u Njema\u010dkoj 4.300, Francuskoj 2.800, a u Indiji 1.500. Ovi podaci jasno ukazuju da se radi o prijetnji koja poga\u0111a i pojedince i organizacije na globalnom nivou, ali i da posljedice prevazilaze granice pojedina\u010dnih sistema. Kada su desetine hiljada ure\u0111aja u jednoj zemlji ranjive, to ne ugro\u017eava samo korisnike ili organizacije, ve\u0107 destabilizuje digitalnu infrastrukturu u cjelini. Javna dostupnost k\u00f4da za iskori\u0161tavanje ranjivosti dodatno je ubrzala zloupotrebu i omogu\u0107ila da se u kampanju uklju\u010de kako kriminalne grupe, tako i dr\u017eavno sponzorisani akteri.<\/p>\n<p>Uticaj kampanje <em>RondoDox<\/em> ne zavr\u0161ava se trenutkom kada se napad otkrije ili sistem obnovi. Organizacije se suo\u010davaju sa dugotrajnim gubitkom povjerenja klijenata i partnera, dok korisnici ostaju svjesni da njihovi ure\u0111aji mogu biti iskori\u0161\u0107eni protiv njih. Ova kampanja je pokazala da digitalna bezbjednost mora biti stalna obaveza, a ne povremena reakcija. Samo zajedni\u010dkim pristupom i ulaganjem u za\u0161titu mogu\u0107e je umanjiti posljedice ovakvih prijetnji i obezbijediti sigurniju budu\u0107nost za sve.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><em>RondoDox<\/em> <em>botnet<\/em> kampanja predstavlja jasan primjer razvoja savremenih prijetnji u oblasti bezbjednosti. Njena snaga ogleda se u objedinjavanju izvi\u0111anja, iskori\u0161tavanja slabosti i isporuke zlonamjernih sadr\u017eaja kroz distribuiranu infrastrukturu za skeniranje. Takav pristup omogu\u0107ava zlonamjernom akteru da istovremeno ugrozi veliki broj sistema, \u010dime se odbrana znatno ote\u017eava, a djelotvornost uobi\u010dajenih mjera za\u0161tite smanjuje.<\/p>\n<p>Uspjeh kampanje zasniva se na kori\u0161tenju javno dostupnih slabosti \u0161to pokazuje da otvoreni izvori mogu biti upotrebljeni za brzu i masovnu zloupotrebu. Dodatno, prisustvo sadr\u017eaja kao \u0161to su <em>React2Shell<\/em> i program za rudarenje ukazuje na visok nivo prilagodljivosti i spremnost da se postupci stalno mijenjaju u skladu sa novim okolnostima.<\/p>\n<p>Trajnost kampanje, potvr\u0111ena kroz devet mjeseci neprekidnih poku\u0161aja ugro\u017eavanja sistema, nagla\u0161ava strate\u0161ku odlu\u010dnost zlonamjernog aktera i otvara pitanje otpornosti postoje\u0107ih okvira za\u0161tite. Ovaj vremenski period jasno pokazuje da napadi nisu slu\u010dajni, ve\u0107 planski i dugoro\u010dno vo\u0111eni.<\/p>\n<p>Za organizacije koje koriste <em>Next.js<\/em> aplikacije dostupne preko interneta i internet stvari (<em>IoT<\/em>) ure\u0111aje posljedice su vi\u0161estruke. Na tehni\u010dkom nivou, neophodna je brza i dosljedna primjena ispravki. Na operativnom nivou, potrebno je unaprijediti nadzor i otkrivanje nepravilnosti. Na strate\u0161kom nivou, organizacije moraju razviti proaktivne politike za\u0161tite koje uklju\u010duju stalnu procjenu rizika, kori\u0161tenje podataka o prijetnjama i spremnost na prilago\u0111avanje.<\/p>\n<p><em>RondoDox<\/em> <em>botnet<\/em> kampanja pokazuje da bezbjednost vi\u0161e nije stati\u010dan proces, ve\u0107 promjenljiv sistem u kojem se prijetnje stalno razvijaju. Zaklju\u010dak je jasan: samo spoj tehni\u010dke otpornosti, operativne prilagodljivosti i strate\u0161ke proaktivnosti mo\u017ee obezbijediti odgovaraju\u0107u odbranu protiv ovakvih kampanja.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"PREPORUKE\"><\/span><strong>PREPORUKE<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Za\u0161tita od <em>RondoDox<\/em> <em>botnet<\/em> kampanj zahtjeva hitnu pa\u017enju organizacija i pojedinaca. U nastavku slijedi nekoliko preporuka:<\/p>\n<ol>\n<li>Osigurati da su sve <em>Next.js<\/em> aplikacije povezane na internet a\u017eurirane na najnoviju verziju, jer je zastareli softver primarna meta za iskori\u0161tavanje od strane zlonamjernih aktera. Ovo uklju\u010duje ne samo a\u017euriranje osnovnog okvira, ve\u0107 i sve zavisnosti ili dodatke koji se koriste u aplikaciji.<\/li>\n<li>Primjena robusnih bezbjednosnih praksi kao \u0161to su provjera unosa i filtriranje podataka mo\u017ee zna\u010dajno smanjiti rizik od uspje\u0161nih napada na <em>Next.js<\/em> aplikacije. Redovno progledati i a\u017eurirati ove mehanizme kako bi se ostalo ispred novih prijetnji.<\/li>\n<li>Redovno, sveobuhvatno skeniranje ranjivosti u svim sistemima povezanim na internet, uklju\u010duju\u0107i internet stvari (<em>IoT<\/em>) ure\u0111aje. Ovaj proaktivni pristup poma\u017ee u identifikaciji potencijalnih ranjivosti prije nego \u0161to ih zlonamjerni akteri mogu iskoristiti.<\/li>\n<li>Pa\u017eljivo pratiti mre\u017eni saobra\u0107aj kroz implementaciju robusnih mehanizama za pra\u0107enje i evidentiranje radi otkrivanja sumnjivih aktivnosti. Sistemski zapisi se moraju redovno pregledati kako bi se brzo identifikovali znaci neovla\u0161tenog pristupa ili poku\u0161aja kra\u0111e podataka.<\/li>\n<li>Potrebno je usvojiti strategiju dubinske odbrane, odnosno slojeviti bezbjednosni pristup koji uklju\u010duje vi\u0161estruke kontrole radi pobolj\u0161anja ukupne za\u0161tite od <em>RondoDox<\/em> To obuhvata za\u0161titne zidove, sisteme za detekciju upada i druge mre\u017ene odbrane, uz za\u0161titu krajnjih ta\u010daka na pojedina\u010dnim ure\u0111ajima.<\/li>\n<li>Softver na svim ure\u0111ajima mora biti a\u017euriran najnovijim bezbjednosnim ispravkama. Zavisnosti aplikacija, uklju\u010duju\u0107i <em>Next.js<\/em> i biblioteke tre\u0107ih strana, potrebno je redovno pregledati i a\u017eurirati.<\/li>\n<li>Organizacija mora razviti i redovno testirati efikasan <a href=\"https:\/\/sajberinfo.com\/en\/2020\/10\/26\/plan-odgovora-na-sajber-prijetnju\/\" target=\"_blank\" rel=\"nofollow noopener\">plan odgovora na sajber prijetnje<\/a>, sa jasno definisanim procedurama za slu\u010dajeve sumnje na <em>RondoDox<\/em> napad ili druge bezbjednosne incidente.<\/li>\n<li>Zaposleni treba da budu edukovani o bezbjednim praksama rada, uklju\u010duju\u0107i izbjegavanje sumnjivih veza i priloga, kao i prijavljivanje neobi\u010dnih aktivnosti <em>IT<\/em> osoblju.<\/li>\n<li>Kontrole pristupa moraju biti stroge, sa privilegijama ograni\u010denim na minimum neophodan za obavljanje radnih zadataka. Dozvole se moraju redovno preispitivati.<\/li>\n<li>Obuka o bezbjednosnoj svijesti mora se redovno sprovoditi radi informisanja zaposlenih o novim prijetnjama i najboljim praksama za smanjenje rizika.<\/li>\n<li>Kriti\u010dni podaci moraju se redovno \u010duvati u <a href=\"https:\/\/sajberinfo.com\/en\/2020\/11\/02\/rezervna-kopija-i-cuvanje-podataka\/\" target=\"_blank\" rel=\"nofollow noopener\">rezervnim kopijama<\/a> radi oporavka sistema u slu\u010daju katastrofe ili incidenata.<\/li>\n<li>Segmentacija mre\u017ee treba da bude sprovo\u0111enja radi ograni\u010davanja bo\u010dnog kretanja zlonamjernih aktera i spre\u010davanja \u0161irenja napada.<\/li>\n<li>Neophodno je implementirati sveobuhvatne mehanizme evidentiranja koji bilje\u017ee detaljne informacije o sistemskim aktivnostima i potencijalnim bezbjednosnim incidentima.<\/li>\n<li>Alati za pra\u0107enje mre\u017enog saobra\u0107aja moraju bilje\u017eiti detaljne informacije o svim aktivnostima sistema radi otkrivanja incidenata.<\/li>\n<li>Internet stvari (<em>IoT<\/em>) ure\u0111aji moraju imati alate za pra\u0107enje mre\u017enog saobra\u0107aja radi evidentiranja aktivnosti i potencijalnih incidenata.<\/li>\n<\/ol>\n<p>Za\u0161tita od <em>RondoDox<\/em> <em>botnet <\/em>mre\u017ee zahtjeva vi\u0161eslojni pristup koji obuhvata implementaciju robusnih bezbjednosnih mjera, sprovo\u0111enje skeniranja ranjivosti, pra\u0107enje mre\u017enog saobra\u0107aja i edukaciju korisnika. Redovno preispitivanje i a\u017euriranje politika, procedura i softverskih zavisnosti neophodno je radi efikasne odbrane od novih prijetnji.<\/p>","protected":false},"excerpt":{"rendered":"<p>RondoDox botnet kampanja koristi React2Shell ranjivost ozna\u010denu kao CVE-2023-1389, kao i ranjivosti nastale zbog zaka\u0161njele primjene ispravke (eng. n-day vulnerabilities), pokazuje istra\u017eivanje kompanije CloudSEK. Ove slabosti se iskori\u0161tavaju za \u0161irenje botnet mre\u017ee preko ranjivih&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":8794,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[3788,3472,3787,1550,894,3454,3784,3786,2144,3789,3785,3783,3471,54,76],"class_list":["post-8793","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-apt-napadi","tag-botnet-napad","tag-cve202555182","tag-cyber-threats","tag-data-breach","tag-digitalna-sigurnost","tag-iot-uredjaji","tag-kripto-rudarenje","tag-malware-detection","tag-mrezna-odbrana","tag-nextjs-ranjivost","tag-react2shell","tag-rondodox","tag-sajber-bezbjednost","tag-zlonamjerni-softver"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8793","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=8793"}],"version-history":[{"count":4,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8793\/revisions"}],"predecessor-version":[{"id":8798,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8793\/revisions\/8798"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/8794"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=8793"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=8793"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=8793"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}