Hệ thống tình báo mối đe dọa của Amazon (Amazon Threat Intelligence) vừa phát hiện cảnh báo về một chiến dịch tấn công đang diễn ra của nhóm ransomware Interlock. Nhóm này đang khai thác một lỗ hổng bảo mật nghiêm trọng mới được công bố trong phần mềm Cisco Secure Firewall Management Center (FMC).

Lỗ hổng được xác định là CVE-2026-20131 (điểm CVSS: 10.0), liên quan đến cơ chế giải tuần tự hóa dữ liệu không an toàn của luồng byte Java do người dùng cung cấp. Lỗi này cho phép kẻ tấn công từ xa, không cần xác thực, có thể vượt qua cơ chế kiểm soát truy cập và thực thi mã Java tùy ý với đặc quyền root trên thiết bị bị ảnh hưởng.

Dựa trên dữ liệu thu thập từ mạng lưới cảm biến toàn cầu MadPot của Amazon, lỗ hổng này đã bị khai thác dưới dạng zero-day từ ngày 26/01/2026, nghĩa là attacker đã có lợi thế hơn một tháng trước khi Cisco công bố bản vá (patch) và tài liệu kỹ thuật.

Đi sâu vào kỹ thuật: Chuỗi tấn công đa tầng và sai lầm OPSEC của Interlock

Phát hiện này của Amazon được hỗ trợ bởi một sai lầm về an ninh vận hành (OPSEC) từ phía kẻ tấn công. Nhóm tội phạm mạng này đã để lộ bộ công cụ trên một máy chủ hạ tầng bị cấu hình sai, giúp các chuyên gia bảo mật có cái nhìn chi tiết về chuỗi tấn công phức tạp, các mã độc truy cập từ xa (RAT) tùy chỉnh, tập lệnh trinh sát và kỹ thuật lẩn tránh của chúng.

Cơ chế khai thác và thực thi: Chuỗi tấn công bắt đầu bằng việc gửi các yêu cầu HTTP được chế tạo đặc biệt đến một đường dẫn cụ thể trong phần mềm FMC để thực thi mã Java. Sau khi xâm nhập thành công, hệ thống bị chiếm quyền sẽ gửi một yêu cầu HTTP PUT đến máy chủ bên ngoài để xác nhận. Ngay sau đó, các lệnh sẽ được gửi tới để tải về một tệp thực thi dạng ELF binary từ máy chủ từ xa – nơi lưu trữ các công cụ độc hại khác của Interlock.

Danh mục vũ khí kỹ thuật của Interlock:

  • Reconnaissance Script (PowerShell): Dùng để liệt kê chi tiết môi trường Windows (OS, phần cứng, dịch vụ, phần mềm, cấu hình lưu trữ, máy ảo Hyper-V). Đặc biệt, tập lệnh này tập trung thu thập tệp tin người dùng (Desktop, Documents, Downloads), dữ liệu trình duyệt (Chrome, Edge, Firefox, 360…) và lịch sử đăng nhập RDP từ Windows Event Logs.
  • Custom RATs (JavaScript & Java): Hỗ trợ tương tác shell, thực thi lệnh tùy ý, truyền tệp hai chiều và thiết lập SOCKS5 proxy. Các RAT này có cơ chế tự cập nhật và tự xóa để xóa dấu vết pháp y.
  • Infrastructure Laundering (Bash Script): Cấu hình máy chủ Linux thành HTTP reverse proxy nhằm che giấu nguồn gốc thực sự của kẻ tấn công. Script này cài đặt fail2ban, biên dịch HAProxy chạy trên cổng 80 và thiết lập một cron job chạy mỗi 5 phút để xóa sạch các tệp tin .log và biến HISTFILE nhằm xóa lịch sử shell.
  • Memory-resident Web Shell: Lưu trú trên bộ nhớ đệm để kiểm tra các tham số truy vấn chứa payload lệnh đã mã hóa, sau đó giải mã và thực thi trực tiếp.
  • Network Beacon: Một công cụ báo hiệu nhẹ để xác nhận kết nối mạng và khả năng thực thi mã sau giai đoạn xâm nhập ban đầu.
  • ConnectWise ScreenConnect: Được sử dụng làm kênh duy trì truy cập từ xa dự phòng nếu các phương thức chiếm quyền khác bị phát hiện.
  • Volatility Framework: Công cụ pháp y bộ nhớ mã nguồn mở, cho thấy nhóm này cũng thực hiện các phân tích ngược trên hệ thống nạn nhân.

Nhận định chuyên gia: Thách thức từ cửa sổ Zero-day

Các chuyên gia bảo mật nhấn mạnh rằng sự hội tụ của các chỉ số kỹ thuật và vận hành (như thư đòi tiền chuộc và cổng thương thảo qua mạng TOR) khẳng định Interlock là thủ phạm. Dấu vết cho thấy nhóm này hoạt động chủ yếu trong múi giờ UTC+3.

CJ Moses (CISO tại Amazon Integrated Security): “Đây không chỉ là một vụ khai thác lỗ hổng thông thường; Interlock đã nắm giữ zero-day trong tay, giúp chúng có lợi thế đi trước các đơn vị phòng thủ một tuần trước khi lỗ hổng được nhận diện. Khi kẻ tấn công khai thác trước khi bản vá tồn tại, ngay cả những chương trình cập nhật tận tâm nhất cũng không thể bảo vệ bạn trong ‘cửa sổ’ nguy hiểm đó.”

Phân tích từ Google cũng chỉ ra một xu hướng đáng lo ngại: Các nhóm ransomware đang thay đổi chiến thuật do tỷ lệ nạn nhân trả tiền giảm. Chúng chuyển hướng sang tấn công trực tiếp vào lỗ hổng trên VPN và Firewall để xâm nhập ban đầu, thay vì dựa vào các công cụ bên ngoài, chúng tận dụng tối đa các tính năng có sẵn của hệ điều hành (Living-off-the-land).

Khuyến cáo từ chuyên gia bảo mật VNCS Global

Để đối phó với sự tinh vi của Interlock và các lỗ hổng mức độ Critical trên thiết bị hạ tầng mạng, các chuyên gia khuyến nghị:

  1. Vá lỗi khẩn cấp: Thực hiện update firmware/software cho Cisco FMC lên phiên bản mới nhất để đóng “cửa sổ” tấn công của CVE-2026-20131.
  2. Chiến lược Phòng thủ chiều sâu (Defense-in-Depth): Thiết lập kiến trúc bảo mật đa lớp nhằm loại bỏ sự phụ thuộc vào một chốt chặn duy nhất. Các lớp kiểm soát (controls) phải được phân tách để duy trì khả năng phòng vệ ngay cả khi một layer bị bypass hoặc chưa kịp remediation.
  3. Rà soát ScreenConnect: Kiểm tra các bản cài đặt ScreenConnect trong hệ thống để phát hiện các phiên bản trái phép được kẻ tấn công sử dụng làm back-door.
  4. Giám sát hạ tầng: Thiết lập giám sát các truy vấn DNS bất thường, các yêu cầu HTTP PUT lạ hướng ra ngoài và các tiến trình xóa log tự động trên hệ thống Linux.
  5. Cảnh giác với các hình thức chiếm quyền khác: Cần tăng cường cảnh giác trước các vector xâm nhập khác như Malvertising, SEO Poisoning và các chiến dịch khai thác tài khoản bị lộ lọt.

Nguồn: The Hacker News