AWSの新しい分析によると、多くのランサムウェアグループが1月からCiscoのファイアウォール製品のゼロデイ脆弱性を悪用しています。
AWS CISO(最高情報セキュリティ責任者)のCJ Mosesは、Interlockオペレーションが1月26日からCVE-2026-20131を攻撃に使用してきたと昨日警告しました。
CVE-2026-20131は、Cisco Secure Firewall Management Center(FMC)ソフトウェアのWebベース管理インターフェースのリモートコード実行(RCE)の脆弱性です。
最大CVSS スコア10を持つこの脆弱性は、「認証されていないリモート攻撃者が、影響を受けるデバイス上でroot権限で任意のJavaコードを実行することを可能にする」可能性があります。Ciscoによると。
Interlockについてさらに詳しく: Interlockランサムウェアが米国のヘルスケア、IT、政府機関をターゲット
Mosesによると、「設定が不適切なインフラストラクチャサーバー」のおかげで、AWSセキュリティチームはInterlockの運用ツールキットに対する稀で完全な可視性を得ることができました。
ゼロデイの悪用による初期アクセスの後、このグループはPowerShellスクリプトを使用して被害者のネットワークの詳細情報を収集し、また永続的な制御のためにJavaScriptとJavaで書かれた2つのカスタム遠隔アクセス型トロイの木馬(RAT)を使用しました。
このグループは、メモリ内でHTTPリクエストを完全に傍受してアンチウイルス検出を回避する「永続的なメモリ常駐バックドア」(ウェブシェル)も展開し、発見された場合のバックアップエントリーポイントとしてConnectWise ScreenConnectをインストールしました。
AWSからの推奨事項
Mosesによると、組織はInterlockランサムウェアの活動から身を守るために、以下のアクションを実施すべきです:
- Ciscoのセキュリティパッチを適用する
- ホワイトペーパーに記載されているIoCのログを確認する
- セキュリティ評価を実施して侵害を特定する
- ScreenConnectのデプロイメントを確認して、不正なインストールをチェックする
- ホスト名ベースのディレクトリ構造を使用してネットワーク共有にデータをステージングするPowerShellスクリプトを監視する
- WebアプリケーションコンテキストにおけるJava ServletRequestListener登録を検出する
- 積極的なログ削除クロンジョブを持つHAProxyインストールを特定する
- 異常な高いポート番号(例:45588)へのTCP接続を監視する
AWSは、長期的には、多層防御、継続的な脅威監視/ハンティング、インシデント対応手順の定期的なテストと、Interlock TTPに関するセキュリティチームの更新されたトレーニングを組み合わせるべきと述べています。
「ここでの真の問題は、単なる1つの脆弱性または1つのランサムウェアグループについてではなく、ゼロデイ悪用があらゆるセキュリティモデルに提示する根本的な課題についてです。攻撃者がパッチが存在する前に脆弱性を悪用する場合、最も熱心なパッチプログラムでさえもその重大なウィンドウ期間中はあなたを保護することができません」とMosesは結論づけました。
「これが多層防御が必須である理由です。階層的なセキュリティ管理により、単一の管理が失敗した場合または展開されていない場合でも保護が提供されます。迅速なパッチが脆弱性管理の基盤のままですが、多層防御により組織は悪用とパッチの間のウィンドウ期間中に無防備な状態にならないよう支援します。」
Ciscoによると、攻撃は現在も進行中です。
翻訳元: https://www.infosecurity-magazine.com/news/interlock-ransomware-exploit-cisco/
