Amazon Threat Intelligence đang cảnh báo về một chiến dịch ransomware Interlock đang hoạt động, khai thác một lỗ hổng bảo mật nghiêm trọng vừa được tiết lộ trong phần mềm Cisco Secure Firewall Management Center (FMC).
Lỗ hổng được đề cập là CVE-2026-20131 (điểm CVSS: 10.0), một trường hợp insecure deserialization của Java byte stream do người dùng cung cấp, có thể cho phép kẻ tấn công từ xa, không cần xác thực để bỏ qua xác thực và thực thi mã Java tùy ý với quyền root trên thiết bị bị ảnh hưởng.
Theo dữ liệu thu thập từ mạng lưới cảm biến toàn cầu MadPot của gã khổng lồ công nghệ AWS, lỗ hổng bảo mật này được cho là đã bị khai thác như một zero-day kể từ ngày 26 tháng 1 năm 2026, hơn một tháng trước khi Cisco công khai tiết lộ.
"Đây không chỉ là một vulnerability exploit thông thường; Interlock đã có một zero-day trong tay, giúp chúng có lợi thế một tuần để compromise các tổ chức trước khi các defender kịp biết để tìm kiếm. Sau khi phát hiện ra điều này, chúng tôi đã chia sẻ kết quả của mình với Cisco để hỗ trợ investigation và protect customers," CJ Moses, chief information security officer (CISO) của Amazon Integrated Security, cho biết trong một báo cáo được chia sẻ với The Hacker News.
Amazon cho biết, việc discovery được thực hiện nhờ vào một operational security blunder từ phía threat actor, để lộ operational toolkit của nhóm cybercrime thông qua một infrastructure server bị misconfigured, cung cấp insights về multi-stage attack chain, bespoke remote access trojans, reconnaissance scripts và evasion techniques.
Attack chain liên quan đến việc gửi các HTTP requests được crafted đến một path cụ thể trong software bị affected nhằm mục đích execute arbitrary Java code, sau đó hệ thống bị compromised issues một HTTP PUT request đến một external server để confirm successful exploitation. Once this step is complete, the commands are sent to fetch một ELF binary từ một remote server, nơi hosts các tools khác linked đến Interlock.
Danh sách các công cụ được xác định:
- Một PowerShell reconnaissance script được sử dụng để systematic Windows environment enumeration, gathering details about operating system và hardware, running services, installed software, storage configuration, Hyper-V virtual machine inventory, user file listings across Desktop, Documents, và Downloads directories, browser artifacts từ Chrome, Edge, Firefox, Internet Explorer, và trình duyệt 360, active network connections, và RDP authentication events từ Windows event logs.
- Custom remote access trojans written in JavaScript và Java cho command-and-control, interactive shell access, arbitrary command execution, bidirectional file transfer, và SOCKS5 proxy capability. Nó cũng supports self-update và self-delete mechanisms để replace hoặc remove the artifact mà không phải reinfect the machine và challenge forensic investigation.
- Một Bash script để configuring Linux servers as HTTP reverse proxies để obscure the attacker's true origins. The script delivers fail2ban, an open-source Linux intrusion prevention tool, và compiles và spawns một HAProxy instance that listens on port 80 và forwards all inbound HTTP traffic to a hard-coded target IP address. Furthermore, the infrastructure laundering script runs a log erasure routine as a cron job every five minutes để aggressively delete và purge the contents of *.log files và suppress shell history bằng cách unsetting the HISTFILE variable.
- Một memory-resident web shell để inspecting incoming requests cho specially crafted parameters containing encrypted command payloads, sau đó được decrypted và executed.
- Một lightweight network beacon để phoning attacker-controlled infrastructure likely để validate successful code execution hoặc confirm network port reachability following initial exploitation.
- ConnectWise ScreenConnect cho persistent remote access và cho serving as an alternative pathway should other footholds bị detected và removed.
- Volatility Framework, một open-source memory forensics framework.
Các links đến Interlock stem từ "convergent" technical và operational indicators, bao gồm embedded ransom note và TOR negotiation portal. Evidence shows rằng threat actor likely operational trong múi giờ UTC+3.
In light of active exploitation của flaw, users are advised to apply patches càng sớm càng tốt, conduct security assessments để identify potential compromise, review ScreenConnect deployments cho unauthorized installations, và implement defense-in-depth strategies.
"The real story here isn't just about one vulnerability hay one ransomware group—it's about the fundamental challenge zero-day exploits pose đến every security model," Moses nói. "When attackers exploit vulnerabilities before patches exist, even the most diligent patching programs can't protect you in that critical window."
"This is precisely why defense-in-depth là essential—layered security controls provide protection khi any single control fails hoặc hasn't yet been deployed. Rapid patching remains foundational trong vulnerability management, nhưng defense in depth helps organizations not to be defenseless trong the window between exploit và patch."
The disclosure comes as Google revealed rằng ransomware actors are changing their tactics in response to declining payment rates, targeting vulnerabilities trong common VPNs và firewalls cho initial access và leaning less on external tooling và more on built-in Windows capabilities.
Multiple threat clusters, both ransomware operators themselves và initial access brokers, cũng đã được found to employ malvertising và/hoặc search engine optimization (SEO) tactics để distribute malware payloads cho initial access. Other commonly observed techniques include the use of compromised credentials, backdoors, hoặc legitimate remote desktop software để establish a foothold, cũng như relying on built-in và already installed tools cho reconnaissance, privilege escalation, và lateral movement.
"While we anticipate ransomware to remain one of the most dominant threats globally, the reduction in profits may cause some threat actors to seek other monetization methods," Google said. "Điều này could manifest as increased data theft extortion operations, the use of more aggressive extortion tactics, hoặc opportunistically using access to victim environments cho secondary monetization mechanisms such as using compromised infrastructure để send phishing messages."
