Исследователи информационной безопасности зафиксировали активную кампанию группы, распространяющей программы-вымогатели Interlock. Злоумышленники эксплуатируют критическую уязвимость нулевого дня в ПО Cisco Secure Firewall Management Center (FMC), что позволяет выполнять произвольный код без аутентификации. Используя эту брешь через сеть Amazon MadPot, угроза оставалась незамеченной в корпоративных сетях более месяца до публичного раскрытия информации.
Кампания целиком построена вокруг уязвимости CVE-2026-20131. Речь идёт об ошибке небезопасной десериализации (CWE-502) в веб-интерфейсе управления Cisco Secure FMC. Отправляя специально созданный сериализованный Java-объект, удалённый злоумышленник без каких-либо учётных данных может выполнить произвольный Java-код и получить привилегии суперпользователя (root). Уязвимость получила максимально возможный базовый балл 10.0 по шкале CVSS, что указывает на наивысший уровень риска. Подвержена атакам также система Cisco Security Cloud Control (SCC), однако широко распространённые конфигурации на базе ПО Adaptive Security Appliance (ASA) и Threat Defense (FTD) не затронуты.
Исследователи установили, что эксплуатация уязвимости началась 26 января 2026 года, что дало группе Interlock форум в 36 дней до публичного анонса Cisco. Первоначальные попытки эксплуатации включали сложные HTTP-запросы со встроенными URL, предназначенными для доставки конфигурационных данных на целевые межсетевые экраны. Впоследствии некорректно настроенный промежуточный сервер злоумышленников раскрыл их многоэтапный инструментарий, предоставив специалистам по безопасности беспрецедентную видимость методики атаки. После получения доступа к сети операторы развёртывают комплексный сценарий PowerShell, предназначенный для системной инвентаризации Windows-среды. Этот скрипт собирает данные об оборудовании, перечень виртуальных машин и активные сетевые подключения, упаковывая информацию в архивы для последующей утечки.
Для сохранения постоянного административного контроля Interlock использует сложные, кастомные троянцы удалённого доступа, написанные на JavaScript и Java. JavaScript-вариант устанавливает WebSocket-соединения с использованием сменяемых ключей шифрования RC4. Java-вариант, в свою очередь, обеспечивает резервный доступ через библиотеки GlassFish. Кроме того, злоумышленники внедряют веб-шелл, резидентный в памяти, который динамически расшифровывает входящие команды, чтобы избежать записи обнаруживаемых файлов на диск. Анализ временных меток артефактов указывает, что операторы, вероятно, действуют из часового пояса UTC+3 и сосредоточены на секторах, где операционные сбои максимизируют давление при вымогательстве. Синдикат в основном атакует уязвимые организации в сферах образования, промышленного производства, здравоохранения и критической инженерии по всему миру. В уникальной тактике шантажа их кастомные сообщения с требованием выкупа ссылаются на регуляторные нормы защиты данных, угрожая жертвам не только шифрованием информации, но и штрафами за несоблюдение нормативных требований.
Поскольку для данной уязвимости десериализации не существует жизнеспособных обходных путей, единственной надёжной защитой является немедленная установка обновлений ПО. Организациям, использующим Cisco Secure Firewall Management Center, необходимо незамедлительно применить официальные патчи безопасности для защиты периметровой инфраструктуры. После завершения процесса обновления сетевым защитникам следует тщательно проверить индикаторы компрометации на предмет поиска возможных аномалий, резидентных в памяти, в своих активных средах. Инцидент обнажает системную проблему: даже компоненты управления безопасностью могут стать первоначальной точкой входа для масштабных атак, если за их поддержкой не следят с той же строгостью, что и за защищаемыми активами.
