据亚马逊安全负责人CJ Moses透露,勒索软件犯罪分子在思科修复漏洞一个多月前就利用了CVE-2026-20131这一思科安全防火墙管理中心软件的最高严重级别零日漏洞。
这一关键安全漏洞允许未经身份验证的远程攻击者在易受攻击的设备上以root权限执行任意Java代码。思科在3月4日发布了修复该漏洞的软件更新,但攻击者早已抢得先机。
亚马逊综合安全首席信息安全官Moses周三表示:"我们的研究发现,Interlock团伙从1月26日开始利用这个漏洞,比公开披露早了36天。"
思科发言人告诉《The Register》,公司将更新其安全公告以反映该漏洞已被利用的情况。该发言人说:"我们感谢亚马逊在这方面的合作,我们已经用最新信息更新了安全公告。我们强烈敦促客户尽快升级,并参考我们的安全公告了解更多详情和指导。"
据美国网络安全和基础设施安全局(CISA)称,勒索软件犯罪分子是滥用这一关键漏洞的群体之一。周三晚些时候,CISA将CVE-2026-20131添加到其已知被利用漏洞目录中,表示已知该漏洞被用于勒索软件感染,并给予联邦机构三天时间进行修补。
Interlock是一个在2025年出现的勒索软件团伙,此后感染了医院和医疗机构,包括肾透析公司Davita和Kettering Health。在这些案例中,犯罪分子不仅中断了化疗和手术前预约,还在网上泄露了癌症患者的详细信息。
这个犯罪团体还声称在夏天从圣保罗市窃取了43GB的文件,迫使这个明尼苏达州首府宣布进入全国紧急状态。
亚马逊在其MadPot蜜罐网络中捕获了入侵者,该网络记录了与Interlock基础设施相关的漏洞利用流量。对于网络防御者来说,威胁情报团队还发现了一台配置错误的基础设施服务器,暴露了Interlock的攻击工具包。
该工具包包括一个PowerShell脚本,用于收集受害者Windows环境的信息,如操作系统和硬件详情、运行服务、已安装软件、存储配置、Hyper-V虚拟机清单、桌面、文档和下载目录中的用户文件列表,以及Windows事件日志中的RDP身份验证事件。它还会收集Chrome、Edge、Firefox、Internet Explorer和360浏览器的浏览历史,如书签、存储的凭据和扩展。
从受害者计算机收集所有这些数据后,脚本将其压缩为以每个主机命名的ZIP存档。Moses写道:"这种结构化的按主机输出格式表明脚本在网络内的多台机器上运行,这是为组织范围加密做准备的勒索软件入侵链的标志。"
Interlock还使用几个自定义远程访问木马(RAT)来维持对受感染机器的持久访问。JavaScript植入程序覆盖浏览器控制台方法以隐藏恶意软件检测工具,然后使用PowerShell和Windows管理工具收集有关受感染主机的大量信息。该植入程序还会收集系统身份、域成员身份、用户名、操作系统版本和权限上下文,然后加密这些数据,使用持久WebSocket连接将其发送到攻击者控制的命令控制服务器。
此外,它还提供交互式shell访问、任意命令执行、双向文件传输和SOCKS5代理功能来隧道TCP流量。它可以自我更新和自我删除,允许勒索软件操作者在不重新感染计算机的情况下删除或替换它。
入侵后,Interlock还利用其非法访问权限投放第二个植入程序,这是一个基于Java的程序,建立在GlassFish生态系统库上,具有相同的功能。在两种不同编程语言中使用几乎相同的植入程序为犯罪分子提供了备份,确保即使其中一个植入程序被检测到,他们也能维持对受害者设备的访问。
此外,亚马逊还发现了一个Bash脚本,该脚本将Linux服务器配置为HTTP反向代理,执行系统更新,每五分钟擦除日志,并确保即使机器重启也能保持持久性。
攻击者还部署了额外的Java类文件,包括内存驻留后门,该后门在内存中拦截HTTP请求而不将文件写入磁盘,以进一步规避杀毒扫描工具,以及一个作为轻量级网络信标的工具,用于验证代码执行并确认网络端口可达性。
除了使用自定义恶意软件外,勒索软件分发者还部署了合法软件,使他们的流量与授权远程访问混合在一起。这包括用于远程桌面控制的ConnectWise ScreenConnect、开源内存取证工具Volatility,以及Certify,这是红队用于利用Active Directory证书服务(AD CS)配置错误的另一个开源攻击性安全工具。
Moses写道:"当勒索软件操作者在其自定义恶意软件旁边部署合法远程访问工具时,他们是在购买保险——如果防御者发现并移除一个后门,他们仍然有另一种进入方式。这表明多个冗余远程访问机制,这种模式与寻求即使个别立足点被移除也能维持访问的勒索软件操作者一致。"
亚马逊基于ELF二进制文件、嵌入式勒索说明和TOR协商门户等工件将恶意活动归因于Interlock。据我们了解,勒索说明还威胁要向监管机构披露受害者,除了数据加密和泄露外,还利用罚款和合规违规的压力来索要付款。
Q&A
Q1:CVE-2026-20131漏洞有多严重?会造成什么影响?
A:CVE-2026-20131是思科安全防火墙管理中心软件的最高严重级别漏洞。该漏洞允许未经身份验证的远程攻击者在易受攻击的设备上以root权限执行任意Java代码,安全风险极高。
Q2:Interlock勒索软件团伙主要攻击哪些目标?
A:Interlock是2025年出现的勒索软件团伙,主要攻击医院和医疗机构,包括肾透析公司Davita和Kettering Health,还曾攻击圣保罗市政府。他们不仅中断医疗服务,还泄露患者隐私信息。
Q3:Interlock团伙使用了哪些攻击工具和技术?
A:Interlock使用了多种攻击工具,包括PowerShell脚本收集系统信息、JavaScript和Java植入程序维持持久访问、自定义远程访问木马,以及ConnectWise ScreenConnect等合法软件来掩盖恶意流量。
热门跟贴