Работают с 12:00 до 18:00 и очень любят Java. Портрет хакеров, которые обошли защиту Cisco

Группировка Interlock успела воспользоваться критической уязвимостью в сетевых экранах Cisco ещё до того, как о ней узнал весь мир. Атака началась почти за полтора месяца до публичного раскрытия проблемы, и за это время злоумышленники получили серьёзное преимущество.

Подразделение Amazon по анализу угроз обнаружило активную кампанию вымогателей, связанную с уязвимостью CVE-2026-20131 в системе управления Cisco Secure Firewall Management Center. Ошибка позволяет удалённо выполнять произвольный Java-код с максимальными правами без авторизации. Cisco раскрыла проблему 4 марта 2026 года, однако Interlock начала использовать уязвимость ещё 26 января. Фактически речь идёт о «нулевом дне», когда атаки происходят до выхода исправлений.

Во время изучения уязвимости специалисты задействовали сеть приманок Amazon MadPot. Система показала, что злоумышленники отправляли специальные HTTP-запросы с попытками выполнить Java-код и ссылками на внешние серверы. Одна ссылка помогала подготовить атаку, другая проверяла, удалось ли взломать цель.

Чтобы понять дальнейшие действия Interlock, специалисты имитировали заражённую систему. После этого атакующие перешли к следующему этапу и попытались загрузить вредоносный исполняемый файл для Linux. Анализ показал, что тот же сервер использовался для хранения всего набора инструментов группировки.

Неожиданно помогла ошибка самих злоумышленников. Один из их серверов оказался плохо настроен и раскрыл всю инфраструктуру. Благодаря этому удалось увидеть полный набор инструментов Interlock, включая вредоносные программы для удалённого доступа, сценарии разведки и методы скрытия следов.

После проникновения в сеть Interlock собирает максимум информации о системе. Найденный сценарий для PowerShell перечисляет запущенные службы, установленное программное обеспечение, сетевые подключения, содержимое пользовательских папок и даже данные браузеров, включая историю и сохранённые учётные записи. Собранные данные упаковываются и отправляются на сетевой ресурс, что говорит о подготовке к атаке сразу на всю инфраструктуру организации.

Для закрепления в системе группировка использует сразу несколько вариантов вредоносных программ. Один из них написан на JavaScript и маскирует свою работу, отключая стандартные механизмы отладки. Другой вариант реализован на Java. Оба дают удалённый доступ, позволяют выполнять команды, передавать файлы и скрывать трафик.

Отдельный сценарий на Linux превращает заражённые серверы в промежуточные узлы, через которые проходит вредоносный трафик. Такой подход скрывает реальные источники атак. При этом система каждые пять минут очищает журналы, чтобы усложнить расследование.

В арсенале Interlock есть и так называемая «бесфайловая» веб-оболочка. Вредоносный код загружается прямо в память и перехватывает HTTP-запросы, не оставляя следов на диске. Такой метод позволяет обходить классические антивирусы.

Злоумышленники также используют легальные инструменты. В атаках замечен ScreenConnect, который обычно применяют для удалённого администрирования. Параллельно обнаружены Volatility и Certify – программы, которые помогают извлекать учётные данные из памяти и атаковать инфраструктуру сертификатов Windows. Такой набор даёт возможность развивать атаку и удерживать доступ даже при частичном обнаружении.

Анализ временных меток указывает, что участники Interlock, с вероятностью 75–80%, работают в часовом поясе UTC+3. Основная активность приходится на промежуток с 12:00 до 18:00, а ночью фиксируется спад.

В Amazon отдельно подчеркнули, что инфраструктура AWS и клиенты облака в кампании не пострадали. Тем не менее компания советует срочно установить обновления безопасности Cisco и проверить системы на признаки взлома.