資安研究人員警告，一波針對TBK數位錄影機（DVR）及Four-Faith路由器安全漏洞的惡意軟體攻擊正在活躍。該惡意程式名為RondoDox殭屍網路，利用CVE-2024-3721和CVE-2024-12856兩項漏洞入侵裝置，並將其轉為具備高度隱匿能力的殭屍節點，進行DDoS攻擊與詐騙活動。

TBK DVR-4104及DVR-4216型號存在中度嚴重命令注入漏洞（CVE-2024-3721），Four-Faith路由器F3x24及F3x36則遭受作業系統命令注入漏洞（CVE-2024-12856）威脅。這些設備多部署於零售店、倉庫、小型辦公室等關鍵環境，長期缺乏監控，且經常因韌體老舊或錯誤設定暴露於網際網路，成為理想的攻擊目標。近月來，這些漏洞已多次被用於部署多個Mirai變種殭屍網路。
 

攻擊起始於殭屍網路植入，RondoDox初期瞄準運行Linux作業系統的ARM及MIPS架構裝置，透過shell腳本下載器擴散至其他Linux架構（Intel 80386、PowerPC、x86-64等）。腳本設計繞過Unix信號終止指令，掃描多處目錄確認可寫入位置，下載並執行惡意程式碼，清除指令歷史以隱藏蹤跡，並設置開機自動啟動以維持長期控制。

RondoDox會掃描並終止網路工具（wget、curl）、系統分析工具（Wireshark、gdb）以及其他惡意軟體，以降低被偵測風險。透過多架構下載器、基於DoH的指揮控制（C2）解析與XOR加密負載，躲避舊有入侵偵測系統（IDS）規則。更透過偽裝成知名遊戲（如Minecraft、Fortnite、GTA）及通訊平台（Discord、OpenVPN、WireGuard）流量，混淆防禦系統。

攻擊程式修改Linux系統中多項常用指令（如iptables、ufw、passwd、shutdown等），將其重新命名為亂碼，阻礙系統修復與安全排查。CVE-2024-3721和CVE-2024-12856漏洞允許攻擊者以命令注入方式執行任意指令，取得設備控制權。惡意軟體採用反分析措施、自訂函式庫及強化持久化機制，確保長期潛伏。

受感染裝置成為隱藏代理節點，用以隱匿指揮控制流量，執行分散式阻斷服務攻擊（DDoS），並協助詐騙活動與基礎設施干擾。此威脅嚴重破壞網路安全與運營穩定，影響關鍵商業與工業環境。

建議用戶立即更新TBK及Four-Faith設備韌體，關閉不必要的遠端管理與開放埠口。強化設備監控，部署行為分析及入侵偵測系統。廠商應加快漏洞修補速度，使用安全開發流程減少未來弱點。企業亦應加強IoT裝置資安意識，避免設備長期曝露於公共網路。