По словам руководителя службы безопасности Amazon Си Джея Мозеса, преступники, занимающиеся программами-вымогателями, использовали CVE-2026-20131 — ошибку максимальной степени критичности в программном обеспечении Cisco Secure Firewall Management Center — как уязвимость нулевого дня более чем за месяц до того, как Cisco устранила эту брешь.
Критический дефект безопасности позволяет неаутентифицированному удаленному злоумышленнику выполнять произвольный Java-код с правами root на уязвимых устройствах. Cisco выпустила обновления программного обеспечения, устраняющие уязвимость, 4 марта, но у злоумышленников было преимущество.
“Наше исследование показало, что Interlock использовала эту уязвимость за 36 дней до ее публичного раскрытия, начиная с 26 января”, — заявил в среду Мозес, главный специалист по информационной безопасности Amazon Integrated Security, сообщил он.
Представитель Cisco сообщил изданию The Register, что компания обновит свое консультативное уведомление по безопасности, чтобы отразить факт эксплуатации.
“Мы ценим партнерство с Amazon в этом вопросе и обновили наше консультативное уведомление по безопасности самой свежей информацией”, — сказал представитель. “Мы настоятельно призываем клиентов обновиться как можно скорее и обратиться к нашему уведомлению по безопасности для получения более подробной информации и рекомендаций”.
Interlock — это группировка, занимающаяся программами-вымогателями, которая появилась в 2025 году и с тех пор заразила больницы и медицинские учреждения, включая фирму по диализу почек Davita и Kettering Health, где преступники не только нарушили сеансы химиотерапии и предоперационные приемы, но и слили в сеть данные пациентов, больных раком.
Эта преступная группа также заявила, что похитила 43 ГБ файлов из города Сент-Пол летом, вынудив столицу Миннесоты объявить чрезвычайное положение.
Amazon обнаружила злоумышленников в своей сети ловушек MadPot, которая фиксировала трафик эксплуатации, связанный с инфраструктурой Interlock. И — что оказалось полезным для сетевых защитников — команда анализа угроз также обнаружила неправильно настроенный инфраструктурный сервер, который раскрыл инструментарий атаки Interlock.
Инструментарий Interlock после эксплуатации
Этот инструментарий включает скрипт PowerShell, предназначенный для сбора информации о средах Windows жертв, такой как сведения об операционной системе и оборудовании; запущенных службах; установленном программном обеспечении; конфигурации хранения данных; инвентаризации виртуальных машин Hyper-V; списках файлов пользователей в каталогах Desktop, Documents и Downloads; а также событиях аутентификации RDP из журналов событий Windows. Он также собирает историю браузеров, такую как закладки, сохраненные учетные данные и расширения из браузеров Chrome, Edge, Firefox, Internet Explorer и 360.
После сбора всех этих данных с компьютеров жертв скрипт сжимает их в ZIP-архивы с именами, соответствующими каждому хосту. “Такой структурированный формат вывода по хостам указывает на то, что скрипт работает на нескольких машинах в сети — это отличительная черта цепочек вторжений программ-вымогателей, готовящихся к шифрованию в масштабах всей организации”, — написал Мозес.
Interlock также использует несколько специализированных троянов удаленного доступа (RAT) для поддержания постоянного доступа к скомпрометированным машинам. JavaScript-имплант переопределяет методы консоли браузера для сокрытия от инструментов обнаружения вредоносного ПО, а затем собирает еще больше информации об инфицированном хосте с помощью PowerShell и Windows Management Instrumentation. Имплант также собирает системную идентификацию, членство в домене, имя пользователя, версию ОС и контекст привилегий, а затем шифрует эти данные, отправляя их на сервер управления и контроля, контролируемый злоумышленником, с использованием постоянных WebSocket-соединений.
Кроме того, он предоставляет интерактивный доступ к оболочке, произвольное выполнение команд, двустороннюю передачу файлов и возможность проксирования SOCKS5 для туннелирования TCP-трафика. Он обновляет себя и может самоудалиться, что позволяет операторам программ-вымогателей удалять или заменять его без повторного заражения компьютера.
После проникновения Interlock также использует свой незаконный доступ для внедрения второго импланта, на этот раз основанного на Java и построенного на библиотеках экосистемы GlassFish, с идентичными возможностями. Использование почти идентичных имплантов на двух разных языках программирования обеспечивает резервный вариант для преступников, гарантируя, что они смогут поддерживать доступ к устройствам жертв, даже если один из имплантов будет обнаружен.
Кроме того, Amazon обнаружила скрипт Bash, который настраивает серверы Linux в качестве обратных HTTP-прокси, выполняя системные обновления, стирая журналы каждые пять минут и обеспечивая постоянство даже при перезагрузке машины.
Злоумышленники также развернули дополнительные файлы классов Java, включая резидентный в памяти бэкдор, который перехватывает HTTP-запросы в памяти — он не записывает файлы на диск — для дальнейшего уклонения от инструментов антивирусного сканирования, а также инструмент, который функционирует как легковесный сетевой маяк для проверки выполнения кода и подтверждения достижимости сетевого порта.
Но это еще не все…
Помимо использования вредоносного ПО собственной разработки, распространители программ-вымогателей также развернули легитимное программное обеспечение, чтобы их трафик сливался с авторизованным удаленным доступом. К ним относятся ConnectWise ScreenConnect для управления удаленным рабочим столом; инструмент для криминалистического анализа памяти с открытым исходным кодом Volatility; и Certify, еще один инструмент для наступательной безопасности с открытым исходным кодом, используемый red team для эксплуатации неправильных конфигураций в Active Directory Certificate Services (AD CS).
“Когда операторы программ-вымогателей развертывают легитимные инструменты удаленного доступа наряду со своим специализированным вредоносным ПО, они покупают страховку — если защитники найдут и удалят один бэкдор, у них останется еще один способ проникновения”, — написал Мозес. “Это указывает на множественные избыточные механизмы удаленного доступа — шаблон, соответствующий операторам программ-вымогателей, стремящимся сохранить доступ, даже если отдельные плацдармы будут устранены”.
Amazon связала вредоносную активность с Interlock на основании ELF-бинарного файла, встроенной записки с требованием выкупа и портала для переговоров через TOR, среди прочих артефактов. Нам сообщили, что записка с требованием выкупа также угрожала раскрыть информацию о жертвах регуляторам, используя давление штрафов и нарушений соответствия — в дополнение к шифрованию и утечке данных — для получения выкупа. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons
