Vor kurzem, Amazon Bedrohung Intelligenz Teams alarmiert über eine aktive Ransomware Kampagne verbunden mit der Gruppe bekannt als Interlock, die einen kritischen Ausfall in der Cisco Secure Firewall Management Center (FMC) Software nutzt. Laut Amazon's Bericht ist die Schwachstelle, die als CVE-2026-20131 identifiziert wurde - qualifiziert mit einer maximalen Punktzahl im CVSS-System nach diesem Bericht - ein Fall der unsicheren Deerialisierung von Java-Byte-Flows, die vom Benutzer bereitgestellt werden, dass ein entfernter und nicht authentifizierter Angreifer die Steuerungen verlassen und willkürliche Java-Code mit Root-Privilegien auf betroffenen Geräten ausführen würde. Um zu verstehen, warum dies gefährlich ist, reicht nicht aus mit der Nummer: Unsichere Deerialisierung ist ein Weg, der wiederholt genutzt wurde, um Remote-Ausführung zu erhalten, wenn Anwendungen serielle Daten akzeptieren, ohne sie korrekt zu validieren; die Sicherheitsgemeinschaft warnt seit Jahren über diese Art von Risiko ( OWASP - Unsichere Deserialisation)
Was diesen Vorfall besonders beunruhigend macht, ist, dass nach Amazon die Ausbeutung in einem Zero-Day-Modus einige Wochen vor Cisco Verwundbarkeit öffentlich begann. Die Erkennung kam von globalen Sensoren, die Amazon für die Bedrohungsüberwachung betreibt, und nach der Bestätigung der schädlichen Aktivität teilten sie Ergebnisse mit Cisco, um bei der Untersuchung zu helfen. Wenn eine Schwachstelle ausgenutzt wird, bevor ein veröffentlichtes Patch existiert, werden Organisationen während dieser kritischen Periode anfällig. selbst wenn sie normalerweise Updates schnell anwenden.
Die von Amazon beschriebene Angriffskette beginnt mit speziell erstellten HTTP-Anfragen, die auf eine bestimmte FMC-Route abzielen, um eine schädliche Deerialisierung und damit den Java-Code zu verursachen. Nach dieser ersten Stufe stellt das kompromittierte Gerät eine HTTP PUT-Anforderung an einen externen Server als Bestätigung der Operation dar und lädt dann eine ELF-Binärdatei herunter, die als Gateway für andere vom angreifenden Schauspieler verwendete Werkzeuge fungiert. Amazon weitere Details, die aufgrund eines operativen Fehlers der kriminellen Gruppe selbst ein Teil ihrer Infrastruktur und Werkzeuge auf einem schlecht konfigurierten Server ausgesetzt war, so dass Forscher einen sehr vollständigen Angriffsfluss wieder aufbauen und Artefakte und Techniken katalogisieren können.
Zu den der Kampagne zugewiesenen Tools gehören PowerShell-Erkennungsskripte, die auf der Suche nach umfassenden Windows-Umgebungsinformationen, Remote Access-Implantate in Java und JavaScript mit SOCKS5-Proxy-Funktionen und Dateiübertragungen sind, Bash-Skripte, um Linux-Server als Reverse-Proxies vorzubereiten und Spuren zu entfernen, eine Speicher-basierte Web-Shell, die Befehle in HTTP-Anforderungen defiguriert und ausgeführt, sowie ein kleines Netzwerk-Bacon zur Überprüfung der Verfügbarkeit der Infrastruktur durch den Angreifer kontrolliert wird. Die Verwendung von ConnectWise ScreenConnect zur Aufrechterhaltung eines dauerhaften Zugriffs in gefährdeten Umgebungen wird ebenfalls erwähnt. Die Kombination von Artefakten zeigt ein vollständiges Intrusionsmuster: Erster Zugriff, Werkzeug-Download, Erkennung, Einrichtung von Kontrollkanälen und Maßnahmen zum Verbergen und Halten der Anwesenheit.
Forensische Beweise und technische Indikatoren, einschließlich einer Rettungsnote und eines Portals auf dem Tor-Netzwerk, ermöglichen es Amazon, die Operation zu Interlock zu verbinden. Die operative Analyse deutet auch darauf hin, dass die Betreiber in einem Zeitbereich aktiv waren, der dem UTC + 3 Schiefer entspricht, einem Detail, das hilft, ihre Routine zu formen und ihre Aktivität in Netzwerk- und Systemaufzeichnungen zu korrelieren.
Diese Episode passt zu breiteren Veränderungen, die mehrere Intelligenz-Teams beobachten: wie die Auszahlungsraten von Rettungsaktionen fallen, haben viele Gruppen die Taktik geändert, um den Zugriff durch Sicherheitslücken in Netzwerkgeräten und Remote Access Software zu priorisieren, oder gestohlene Anmeldeinformationen und legitime Tools zu nutzen, die bereits in den Netzwerken installiert sind. Das Ergebnis ist eine größere Vorliebe für Vektoren, die einen zuverlässigen Anfangszugriff und Techniken erlauben, die Tracking und Attribution schwierig machen, anstatt sich ausschließlich auf "externe" Malware zu verlassen. Um die Veränderungen in der Bedrohungslandschaft im Auge zu behalten, gibt es Publikationen von Sicherheitsbehörden und Unternehmen, die diesen Trends folgen, wie die Empfehlungen von CISA auf Ransomware ( CISA - Stop Ransomware) oder Analyse von Sicherheitsanbietern.
Was können und sollten Organisationen jetzt tun? Zuerst wenden Sie die von dem Anbieter veröffentlichten Patches und Minderungen für den Cisco FMC an, sobald sie verfügbar sind und überprüfen Versionen in ihrer Umgebung. Parallel dazu ist es ratsam, Verpflichtungsbeurteilungen durchzuführen, die die Suche nach Betriebsindikatoren in Netz- und Anwendungsprotokollen, die Überarbeitung von Fernzugriffstool-Einrichtungen wie ScreenConnect zur Erkennung unberechtigter Bereitstellungen und die Integritätsanalyse von Systemen, die Binär- oder Fremdcode heruntergeladen haben können, beinhalten. Effektive Verteidigung erfordert eine Schichtstrategie: schnelles Patchen, Netzwerksegmentierung, Egresssteuerungen, Endpunkteerkennung und kontinuierliche Protokollüberwachung.
Es ist auch erforderlich, die operativen Kontrollen zu stärken, die die Auswirkungen eines Eindringens begrenzen: das Prinzip der Mindestberechtigungen anwenden, Anmeldeinformationen mit Multifaktor-Authentifizierung, Audit-Verwaltungszugriff schützen und Überwachungsmechanismen ermöglichen, die auf abnormes Verhalten wie ausgehende Verbindungen zu ungewöhnlichen Servern oder Prozessen, die binäre Downloads durchführen, aufmerksam machen. Zur Minderung spezifischer Techniken, die von Angreifern verwendet werden, können Werkzeuge wie fail2ban dazu beitragen, die exponierten Dienste zu härten und den Lärm durch den automatisierten Zugang zu reduzieren ( Tutorial auf fehlgeschlagen), während die Verwendung von Speicher- und forensischen Analyselösungen Schlüssel zur Erkennung von im RAM wohnhaften Web-Shells sein kann; Projekte wie Volatiility sind eine Referenz in diesem Bereich ( Volatilitätsstiftung)
Die breitere Lektion, dass dieser Fall nicht neu ist, aber es ist dringend: Null-Tage-Typ Lücken sind der schwierigste Teil der Verteidigung, weil sie erscheinen, bevor Patches oder Signaturen existieren und die Wirksamkeit von gut verwalteten Update-Programmen reduzieren. Also, mit mehreren Schutzschichten und schnellen Erkennungs- und Antwortfähigkeiten ist, was eine Organisation ermöglicht, Zeit zu verdienen und Fensterschäden zwischen Anfangsbetrieb und Endkorrektur zu minimieren. Sicherheitsteams und IT-Führer sollten diesen Vorfall als Erinnerung daran nehmen, ihre Antwortverfahren zu validieren, Angriffssszenarien auf Edge-Geräte zu praktizieren und Sichtbarkeit und Segmentierung in kritischen Architekturen zu priorisieren.
Schließlich war der Austausch von Informationen mit Dritten und dem gefährdeten Lieferanten in diesem Fall von entscheidender Bedeutung: Die Zusammenarbeit zwischen den Detektoren und dem Hersteller beschleunigte die kollektive Reaktion. In einem Umfeld, in dem Angreifer ihre Methoden ständig anpassen, sind die Zusammenarbeit, der Austausch von Indikatoren und die Überwachung von offiziellen Bulletins wesentliche Bestandteile zum Schutz kritischer Infrastrukturen.
Für diejenigen, die die technischen Details und vollständigen Empfehlungen vertiefen möchten, bietet der Bericht von Amazon Threat Intelligence über diese Kampagne eine detaillierte Analyse und kann auf dem AWS Security Blog ( Amazon Threat Intelligence - Bericht), während Agentur gute Praxis Führer wie CISA bieten praktische Schritte für Ransomware Vorbereitung und Antwort ( CISA - Stop Ransomware)
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...