Một chiến dịch đang hoạt động của nhóm ransomware Interlock đang khai thác một lỗ hổng zero-day nghiêm trọng (CVE-2026-20131) trong phần mềm Cisco Secure Firewall Management Center (FMC). Lỗ hổng này cho phép kẻ tấn công từ xa không được xác thực thực thi mã Java tùy ý với đặc quyền root trên thiết bị bị ảnh hưởng, một ví dụ điển hình về nguy cơ từ các kỹ thuật khai thác zero-day.
Chi tiết Lỗ hổng CVE-2026-20131
Cisco đã công bố lỗ hổng CVE-2026-20131 vào ngày 4 tháng 3 năm 2026. Đây là một lỗ hổng thực thi mã từ xa (RCE) cho phép kẻ tấn công không cần xác thực thực thi mã Java tùy ý với quyền root.
Các nhà nghiên cứu tình báo mối đe dọa của Amazon đã phát hiện Interlock lợi dụng lỗ hổng này từ ngày 26 tháng 1 năm 2026, tức là 36 ngày trước khi Cisco công khai. Khoảng thời gian này đã giúp nhóm ransomware tích cực xâm nhập các tổ chức khi các nhà phòng thủ vẫn chưa hay biết.
Amazon đã chia sẻ những phát hiện này với Cisco để hỗ trợ điều tra. Các nhà nghiên cứu cũng xác nhận rằng cơ sở hạ tầng AWS và khối lượng công việc của khách hàng không bị ảnh hưởng trong chiến dịch này. Để biết thêm chi tiết kỹ thuật về lỗ hổng, tham khảo Cisco Security Advisory.
Phương thức Khai thác Ban đầu và Triển khai Công cụ
Cuộc điều tra đã tiến triển đáng kể khi một máy chủ hạ tầng bị cấu hình sai đã làm lộ toàn bộ bộ công cụ tác chiến của Interlock. Hoạt động đe dọa ban đầu liên quan đến các yêu cầu HTTP tới một đường dẫn phần mềm dễ bị tấn công.
Các yêu cầu này chứa các nỗ lực thực thi mã Java và các URL nhúng. Các URL này dùng để cung cấp dữ liệu cấu hình và xác nhận khai thác thành công bằng cách kích hoạt một yêu cầu HTTP PUT để tải lên một tệp được tạo ra.
Bằng cách mô phỏng một hệ thống bị xâm nhập, các nhà nghiên cứu đã khiến kẻ tấn công triển khai một tệp nhị phân Linux ELF độc hại. Máy chủ staging bị lộ cho thấy nhóm này tổ chức các tạo phẩm thành các đường dẫn riêng biệt cho từng mục tiêu cụ thể. Điều này giúp hợp lý hóa cả việc tải xuống các công cụ và tải lên dữ liệu hoạt động bị đánh cắp.
Đặc điểm Nhận dạng Nhóm Interlock Ransomware
Các chỉ số kỹ thuật đã tự tin gán hoạt động này cho họ mã độc ransomware Interlock, một nhóm có động cơ tài chính xuất hiện lần đầu vào tháng 9 năm 2024. Tệp nhị phân ELF được thu hồi, ghi chú đòi tiền chuộc được nhúng, và cổng đàm phán TOR đều phù hợp với thương hiệu Interlock đã được thiết lập.
Các ghi chú đòi tiền chuộc của chúng thường trích dẫn các rủi ro pháp lý để tối đa hóa áp lực lên nạn nhân, phù hợp với mô hình tống tiền kép (double extortion) đã biết của chúng. Phân tích thời gian của nhóm tình báo mối đe dọa Amazon cho thấy các tác nhân hoạt động ở múi giờ UTC+3.
Trong lịch sử, Interlock nhắm mục tiêu vào các lĩnh vực mà sự gián đoạn hoạt động buộc phải thanh toán ngay lập tức, chủ yếu tập trung vào giáo dục, kỹ thuật, xây dựng, sản xuất, chăm sóc sức khỏe và các tổ chức chính phủ. Để tìm hiểu thêm về chiến dịch này, độc giả có thể tham khảo bài đăng blog của Amazon Threat Intelligence.
Bộ Công cụ và Kỹ thuật Sau Khai thác
Sau khi giành được quyền truy cập thông qua khai thác zero-day, Interlock triển khai một bộ công cụ phức tạp để leo thang đặc quyền và duy trì sự dai dẳng.
Thám mã và Thu thập Thông tin
Một tập lệnh PowerShell được thu hồi đã thực hiện việc liệt kê môi trường Windows một cách sâu rộng. Tập lệnh này thu thập chi tiết hệ thống, tạo phẩm trình duyệt và các kết nối mạng.
Các kết quả được tổ chức vào các thư mục dành riêng cho mỗi máy chủ và được nén vào các tệp lưu trữ ZIP. Điều này báo hiệu sự chuẩn bị cho việc mã hóa trên toàn bộ tổ chức.
Công cụ Truy cập Từ xa (RATs) Tùy chỉnh
Nhóm Interlock sử dụng các trojan truy cập từ xa tùy chỉnh được triển khai bằng cả JavaScript và Java.
- JavaScript implant: Sử dụng Windows Management Instrumentation (WMI) để lập hồ sơ hệ thống và thiết lập các kết nối WebSocket liên tục với tin nhắn được mã hóa RC4. Nó cung cấp quyền truy cập shell tương tác, truyền tệp và khả năng proxy SOCKS5.
- Java backdoor: Được xây dựng trên các thư viện GlassFish, có chức năng tương tự, đảm bảo quyền truy cập dự phòng.
Che dấu vết và Duy trì Dai dẳng
Để che giấu dấu vết, kẻ tấn công triển khai một tập lệnh Bash cấu hình các máy chủ Linux làm proxy ngược HTTP. Tập lệnh này cài đặt HAProxy để chuyển tiếp lưu lượng truy cập và liên tục xóa nhật ký cứ sau năm phút.
Ngoài ra, một webshell Java không tệp (fileless), tồn tại trong bộ nhớ, chặn các yêu cầu HTTP chứa các lệnh được mã hóa AES-128 bằng cách sử dụng một seed được mã hóa cứng.
Lạm dụng Công cụ Hợp pháp
Interlock còn lạm dụng các công cụ hợp pháp khác bên cạnh phần mềm độc hại tùy chỉnh của chúng. Các công cụ này bao gồm:
- ConnectWise ScreenConnect: Một công cụ hỗ trợ và truy cập từ xa. Việc lạm dụng các công cụ hợp pháp như ScreenConnect đã được ghi nhận trong nhiều chiến dịch tấn công. Tham khảo thêm về việc khai thác công cụ này tại Cybersecurity News.
- Volatility: Để phân tích pháp y bộ nhớ (memory forensics).
- Certify: Để khai thác Active Directory.
Các Chỉ số Thỏa hiệp (IOCs) Mô tả
Do tác nhân đe dọa tùy chỉnh các tạo phẩm đã tải xuống cho từng mạng mục tiêu riêng lẻ, các hàm băm tệp truyền thống phần lớn không đáng tin cậy cho việc phát hiện dựa trên chữ ký. Thay vào đó, các nhà phòng thủ nên tập trung vào các chỉ số hành vi và công cụ được sử dụng để phát hiện chiến dịch ransomware Interlock:
- Tệp nhị phân Linux ELF độc hại: Được triển khai sau khi khai thác ban đầu.
- Tập lệnh PowerShell: Dùng để liệt kê thông tin hệ thống Windows, thu thập chi tiết hệ thống, tạo phẩm trình duyệt và kết nối mạng.
- JavaScript implant tùy chỉnh: Sử dụng WMI, WebSocket (RC4-encrypted), cung cấp shell tương tác, truyền tệp, SOCKS5 proxy.
- Java backdoor tùy chỉnh: Xây dựng trên thư viện GlassFish, có chức năng tương tự JavaScript implant.
- Tập lệnh Bash: Cấu hình HAProxy làm proxy ngược HTTP, xóa nhật ký định kỳ.
- Webshell Java tồn tại trong bộ nhớ: Chặn lệnh AES-128 được mã hóa cứng qua HTTP.
- Sử dụng công cụ hợp pháp: ConnectWise ScreenConnect, Volatility, Certify.
Biện pháp Phòng ngừa và Phát hiện
Các tổ chức đang vận hành Cisco Secure Firewall Management Center phải áp dụng các bản vá bảo mật mới nhất ngay lập tức. Việc cập nhật bản vá bảo mật là bước quan trọng nhất để giảm thiểu rủi ro từ các cuộc khai thác zero-day và các mối đe dọa tương tự.
Vì kẻ tấn công tùy chỉnh các tạo phẩm tải xuống cho từng mạng mục tiêu, các hàm băm tệp truyền thống không đáng tin cậy cho việc phát hiện dựa trên chữ ký. Thay vào đó, các nhà phòng thủ nên tập trung vào việc xác định các mẫu hành vi, các bất thường trong bộ nhớ và các chiến thuật trinh sát mạng cụ thể liên quan đến chuỗi tấn công đa diện của Interlock. Phương pháp này cung cấp khả năng phát hiện hiệu quả hơn so với việc dựa vào các chữ ký tĩnh.
