Нулевой день в руках вымогателей: как группа Interlock использовала нераскрытую уязвимость Cisco за месяц до патча

Речь идёт об уязвимости, получившей идентификатор CVE-2026-20131. Она была официально раскрыта Cisco 4 марта 2026 года и классифицирована как критическая. Проблема позволяет неаутентифицированному удалённому злоумышленнику выполнять произвольный Java-код с привилегиями root на уязвимом устройстве, что фактически означает полный контроль над системой управления межсетевыми экранами. Однако, как выяснилось, угроза стала реальностью задолго до этого официального анонса.

Группа угрозового анализа Amazon, используя глобальную сенсорную сеть MadPot (систему honeypot-серверов, привлекающих и отслеживающих активность киберпреступников), обнаружила, что эксплуатация уязвимости началась 26 января 2026 года. Это означает, что у Interlock был в распоряжении полноценный "нулевой день", давший им фору в 36 дней для компрометации организаций до того, как защитники узнали о необходимости искать соответствующие признаки вторжения. После этого открытия данные были переданы Cisco для помощи в расследовании и защиты клиентов. Ключевой перелом в расследовании наступил благодаря ошибке самих злоумышленников. Плохо защищённый сервер инфраструктуры, выполнявший роль промежуточной площадки, оказался неправильно сконфигурирован и стал доступен извне. Эта редкая оплошность предоставила специалистам Amazon беспрецедентную видимость в полную оперативную цепочку атак группы, включая многостадийный процесс, пользовательские трояны удалённого доступа, скрипты разведки и техники уклонения от обнаружения.

Анализ временных меток активности, артефактов на скомпрометированном сервере и встроенных метаданных позволил с уверенностью 75-80% определить, что операторы группы, скорее всего, работают в часовом поясе UTC+3. Пиковая активность наблюдалась между 12:00 и 18:00, что указывает на скоординированную человеческую деятельность в рабочее время, а не на полностью автоматизированные атаки. Исторически Interlock фокусируется на секторах, где операционные простои создают максимальное давление для выплаты выкупа. Наибольшая доля их активности приходится на образование, за которым следуют инжиниринг, архитектура и строительство, производство, здравоохранение, а также государственные и публичные организации.

Технический анализ извлечённого инструментария раскрывает высокий уровень профессионализма группы. После получения первоначального доступа Interlock использует PowerShell-скрипт для систематической разведки Windows-среды. Скрипт собирает детальную информацию об операционной системе, оборудовании, запущенных службах, установленном ПО, конфигурации хранилищ, виртуальных машинах Hyper-V, пользовательских файлах и артефактах браузеров, включая историю, закладки и сохранённые учётные данные. Собранные данные структурированно размещаются в сетевой папке, что указывает на работу сразу по множеству компьютеров в сети - характерный признак подготовки к организации шифрования в масштабах всего предприятия.

Особый интерес представляют пользовательские трояны удалённого доступа, обнаруженные исследователями. Группа разработала функционально идентичные импланты на двух разных языках - JavaScript и Java. JavaScript-имплант, например, использует зашифрованную связь по протоколу WebSocket, где каждое сообщение шифруется своим случайным ключом, что затрудняет перехват и анализ трафика. Он предоставляет злоумышленникам интерактивный доступ к командной строке, возможность выполнения произвольных команд, двустороннюю передачу файлов и даже функциональность SOCKS5-прокси для туннелирования трафика. Наличие самообновления и самоудаления позволяет операторам заменять или удалять имплант без необходимости повторного заражения, что осложняет последующий криминалистический анализ.

Для сокрытия своей инфраструктуры Interlock использует Bash-скрипт, превращающий Linux-серверы в одноразовые ретрансляторы. Скрипт настраивает сервер как HTTP-обратный прокси с помощью HAProxy, перенаправляя весь входящий трафик, чтобы скрыть истинное местоположение атакующих. Примечательна агрессивная процедура стирания логов, выполняемая как cron-задача каждые пять минут. Такое частое уничтожение следов в сочетании с предназначением сервера делает практически невозможным отслеживание атаки до её источника.

В своём арсенале группа также использует легитимные инструменты, что является тактикой создания избыточности доступа. В частности, был обнаружен ConnectWise ScreenConnect - коммерческое решение для удалённого рабочего стола. Его использование помогает маскировать вредоносную активность под санкционированное администрирование. Более неожиданным стало присутствие фреймворка Volatility, который обычно используется криминалистами для анализа дампов памяти. Его наличие может указывать на стремление группы извлекать из оперативной памяти чувствительные данные, такие как пароли, для дальнейшего перемещения по сети. Также применялся инструмент Certify для эксплуатации неправильных конфигураций служб сертификатов Active Directory, что позволяет получать легитимные сертификаты для аутентификации и повышения привилегий.

Важным аспектом, который подчеркнули специалисты Amazon Threat Intelligence, является фундаментальный вызов, который подобные "нулевые дни" бросают любой модели безопасности. Когда атака начинается до выпуска патча, даже самые дисциплинированные программы обновлений бессильны в этот критический промежуток времени. Это вновь подтверждает жизненную необходимость стратегии глубокой эшелонированной обороны, где множество слоёв защиты обеспечивают безопасность при отказе любого отдельного элемента. Быстрое применение исправлений остаётся краеугольным камнем, но глубокая защита позволяет организациям не оставаться беззащитными в окне между началом эксплуатации и доступностью патча.

Для защиты от подобных операций организациям, использующим Cisco Secure Firewall Management Center, следует немедленно применить патчи, выпущенные вендором. В качестве детективных мер рекомендуется мониторить PowerShell-скрипты, которые размещают данные в сетевых папках с структурами каталогов, основанными на именах хостов, а также отслеживать нестандартные регистрации слушателей ServletRequestListener в Java-приложениях. Долгосрочные меры включают реализацию стратегии глубокой защиты, обеспечение непрерывного мониторинга угроз и централизованное безопасное хранение логов. История с Interlock наглядно демонстрирует, что современные группы вымогателей действуют как высокоорганизованные киберпреступные предприятия, и защита от них требует не только технологических, но и proceduralных мер, а также постоянной готовности к тому, что первый удар может прийти с неизвестного ранее направления.

IPv4

• 144.172.110.106
• 144.172.94.59
• 188.245.41.78
• 199.217.98.153
• 199.217.99.121
• 206.251.239.164
• 37.27.244.222
• 89.46.237.33
• 95.217.22.175

Domains

• browser-updater.com
• browser-updater.live
• cherryberry.click
• initialize-configs.com
• kolonialeru.com
• ms-global.first-update-server.com
• ms-server-default.com
• ms-sql-auth.com
• os-update-server.com
• os-update-server.live
• os-update-server.org
• os-update-server.top
• sclair.it.com

URLs

• http://ebhmkoohccl45qesdbvrjqtyro2hmhkmh6vkyfyjjzfllm3ix72aqaid.onion/chat.php

MD5

• b885946e72ad51dca6c70abc2f773506
• f80d3d09f61892c5846c854dd84ac403

SHA256

• 6c8efbcef3af80a574cb2aa2224c145bb2e37c2f3d3f091571708288ceb22d5f
• d1caa376cb45b6a1eb3a45c5633c5ef75f7466b8601ed72c8022a8b3f6c1f3be