Ciscoのセキュアファイアウォール管理センターソフトウェアの最高度の深刻度バグであるCVE-2026-20131をランサムウェア犯罪者が、Ciscoがパッチを公開する1ヶ月以上前にゼロデイ脆弱性として悪用していたと、Amazonのセキュリティ責任者CJ Mosesが明らかにしました。
この重大なセキュリティ欠陥により、認証されていないリモート攻撃者が脆弱なデバイス上でroot権限で任意のJavaコードを実行できます。Ciscoは3月4日にこの脆弱性を修正するソフトウェア更新をリリースしましたが、攻撃者はすでに先手を打っていました。
「私たちの調査により、Interlockが1月26日から公開開示の36日前にこの脆弱性を悪用していたことが判明しました」と、Amazon Integrated Securityの最高情報セキュリティ責任者であるMosesは、述べました。
CiscoのスポークスパーソンはThe Registerに対し、悪用を反映するためにセキュリティアドバイザリを更新すると述べました。
「このことについてAmazonとの提携に感謝しており、セキュリティアドバイザリを最新情報で更新しました」とスポークスパーソンは述べました。「顧客ができるだけ早くアップグレードし、詳細情報とガイダンスについてはセキュリティアドバイザリを参照することを強くお勧めします。」
Interlockは2025年に出現したランサムウェアグループであり、その後病院および医療施設に感染しました。対象には腎臓透析企業DavitaおよびKettering Healthが含まれており、犯罪者は化学療法セッションと手術前の予約を妨害しただけでなく、がん患者の詳細情報をオンラインで流出させました。
このような犯罪グループはまた、夏季にセントポール市から43GBのファイルを盗んだと主張しており、ミネソタ州の州都を国家的非常事態を宣言するよう強制しました。
Amazonはそのハニーポットネットワーク「MadPot」で侵入者を検出しました。このネットワークはInterlockのインフラストラクチャに関連するエクスプロイトトラフィックをログに記録しました。また、ネットワーク防御者にとって幸いなことに、脅威インテリジェンスチームはInterlockの攻撃ツールキットを暴露した設定の間違ったインフラストラクチャサーバーも発見しました。
Interlockのポストエクスプロイトツールキット
そのツールキットには、被害者のWindows環境に関する情報を収集するために設計されたPowerShellスクリプトが含まれています。オペレーティングシステムとハードウェアの詳細、実行中のサービス、インストール済みソフトウェア、ストレージ構成、Hyper-V仮想マシンインベントリ、Desktop、Documents、Downloadsディレクトリ全体のユーザーファイル一覧、Windowsイベントログからリします。また、Chrome、Edge、Firefox、Internet Explorer、360ブラウザからのブックマーク、保存された認証情報、拡張機能などのブラウザ履歴も収集します。
被害者のコンピュータからこれらのデータをすべて収集した後、スクリプトは各ホストに名前を付けたZIPアーカイブに圧縮します。「この構造化されたホスト単位の出力形式は、スクリプトがネットワーク内の複数のマシンで動作していることを示しており、組織全体の暗号化を準備するランサムウェア侵入チェーンの特徴です」とMosesは述べました。
Interlockはまた、複数のカスタム遠隔アクセストロイの木馬(RAT)を使用して、侵害されたマシンへの永続的なアクセスを維持します。JavaScriptインプラントはブラウザコンソールメソッドをオーバーライドしてマルウェア検出ツールから隠れ、その後PowerShellとWindows Management Instrumentationを使用して感染したホストに関するより多くの情報を収集します。インプラントはシステムID、ドメインメンバーシップ、ユーザー名、OSバージョン、および特権コンテキストも収集し、このデータを暗号化して、永続的なWebSocket接続を使用して攻撃者が制御するコマンドアンドコントロールサーバーに送信します。
さらに、対話的シェルアクセス、任意のコマンド実行、双方向ファイル転送、TCPトラフィックトンネリング用のSOCKS5プロキシ機能を提供します。自己更新でき、自己削除も可能であり、ランサムウェアオペレーターがコンピュータを再感染させることなく削除または置き換えることができます。
侵入後、Interlockは不正なアクセスを使用して2番目のインプラントをドロップします。これはJavaベースであり、GlassFishエコシステムライブラリ上に構築された同一の機能を持っています。2つの異なるプログラミング言語でほぼ同一のインプラントを使用することで、犯罪者のためにバックアップを提供し、インプラントの1つが検出された場合でも被害者のデバイスへのアクセスを維持できるようにします。
さらに、AmazonはLinuxサーバーをHTTPリバースプロキシとして構成するBashスクリプトを発見しました。これはシステム更新を実行し、5分ごとにログを削除し、マシンが再起動してもアクティビティが継続するようにします。
攻撃者はまた、メモリにHTTPリクエストをインターセプトするメモリ常駐バックドアを含む追加のJavaクラスファイルを配備しました。これはファイルをディスクに書き込まず、アンチウイルススキャンツールをさらに回避します。また、軽量ネットワークビーコンとして機能するツール(コード実行を検証し、ネットワークポートの到達可能性を確認)も配備しました。
ちょっと待ってください。それだけではありません…
カスタムマルウェアの使用に加えて、ランサムウェア配布者は正当なソフトウェアを配備して、トラフィックを認可されたリモートアクセスに混ぜ込ませています。これには、リモートデスクトップ制御用のConnectWise ScreenConnectが含まれます。オープンソースのメモリフォレンジックスツールVolatility。そしてCertify(Active Directory Certificate Services (AD CS) の設定ミスを利用するためにレッドチームが使用するもう1つのオープンソース攻撃的なセキュリティツール)。
「ランサムウェアオペレーターが正当なリモートアクセスツールをカスタムマルウェアと一緒に配備するとき、彼らは保険を購入しています。ディフェンダーが1つのバックドアを発見して削除しても、彼らはまだ別の侵入経路を持っています」とMosesは述べました。「これは複数の冗長なリモートアクセスメカニズムを示しており、個々の足がかりが削除されてもアクセスを維持しようとするランサムウェアオペレーターとの一貫性のあるパターンです。」
AmazonはELFバイナリ、組み込まれた身代金メモ、TORネゴシエーションポータルなど、その他のアーティファクトに基づいて、悪意のあるアクティビティをInterlockに帰属させました。身代金メモはまた、データ暗号化とリークに加えて、罰金とコンプライアンス違反の圧力を使用して、支払いを促すために、被害者を規制当局に暴露すると脅かしていたとのことです。®
