Amazon Threat Intelligence a découvert qu’Interlock ransomware exploitait CVE-2026-20131 dans Cisco Secure Firewall Management Center comme zero-day depuis le 26 janvier 2026, soit 36 jours avant la divulgation publique.

🔍 Contexte

Le 21 mars 2026, Amazon Threat Intelligence a publié sur le blog de sécurité AWS une analyse technique détaillée d’une campagne active du groupe Interlock ransomware exploitant CVE-2026-20131, une vulnérabilité critique dans Cisco Secure Firewall Management Center (FMC) Software.

🎯 Exploitation zero-day

La vulnérabilité CVE-2026-20131 permet à un attaquant distant non authentifié d’exécuter du code Java arbitraire en tant que root sur les équipements affectés. Cisco l’a divulguée le 4 mars 2026, mais Amazon a détecté une exploitation active dès le 26 janvier 2026, soit 36 jours avant la divulgation publique. Interlock disposait donc d’un zero-day opérationnel.

L’exploitation implique des requêtes HTTP vers un chemin spécifique du logiciel, avec des corps de requête contenant des tentatives d’exécution de code Java et deux URLs embarquées : une pour livrer des données de configuration et une pour confirmer l’exploitation réussie via un HTTP PUT.

🛠️ Arsenal technique d’Interlock

Un serveur d’infrastructure mal configuré a exposé l’ensemble de la boîte à outils opérationnelle du groupe :

  • Script de reconnaissance PowerShell : énumération systématique de l’environnement Windows (OS, services, logiciels, VMs Hyper-V, artefacts navigateurs Chrome/Edge/Firefox/IE/360, connexions réseau, tables ARP, sessions iSCSI, événements RDP). Résultats compressés en ZIP par hostname vers un partage réseau centralisé (\JK-DC2\Temp).
  • Implant JavaScript (RAT) : communication C2 via WebSockets persistants avec chiffrement RC4 (clés aléatoires 16 octets par message), accès shell interactif, transfert de fichiers bidirectionnel, proxy SOCKS5, capacités d’auto-mise à jour et auto-suppression.
  • Implant Java (RAT) : fonctionnellement équivalent à l’implant JS, basé sur GlassFish/Grizzly/Tyrus.
  • Script Bash de laundering d’infrastructure : configure des serveurs Linux comme reverse proxies HTTP via HAProxy 3.1.2, avec suppression agressive des logs toutes les 5 minutes via cron job.
  • Webshell Java en mémoire : installe un ServletRequestListener dans le StandardContext JVM, déchiffre les payloads AES-128 (clé dérivée du MD5 de geckoformboundary99fec155ea301140cbe26faf55ed2f40), exécute du bytecode Java dynamiquement en mémoire (approche fileless).
  • Outil de vérification de connectivité : serveur TCP sur port 45588 (encodé en Unicode ), utilisé comme beacon réseau.

🔧 Outils légitimes détournés

  • ConnectWise ScreenConnect : outil de bureau à distance commercial déployé comme backdoor redondant
  • Volatility : framework de forensique mémoire utilisé pour extraire des credentials en RAM
  • Certify : outil offensif ciblant les misconfigurations Active Directory Certificate Services (AD CS)

🏭 Secteurs ciblés et attribution

Interlock cible prioritairement : éducation, ingénierie/architecture/construction, industrie manufacturière, santé, et secteur gouvernemental. L’analyse temporelle des artefacts indique un opérateur probablement en UTC+3 (75-80% de confiance), avec une activité principale entre 12h00 et 18h00.

📋 Type d’article

Il s’agit d’une analyse technique et de threat intelligence publiée par Amazon Security, visant à partager des IOCs et une analyse détaillée de la chaîne d’attaque Interlock pour permettre aux organisations de détecter et répondre à cette campagne.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Interlock (cybercriminal)

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
  • T1505.003 — Server Software Component: Web Shell (Persistence)
  • T1055 — Process Injection (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1070.002 — Indicator Removal: Clear Linux or Mac System Logs (Defense Evasion)
  • T1070.003 — Indicator Removal: Clear Command History (Defense Evasion)
  • T1620 — Reflective Code Loading (Defense Evasion)
  • T1090.003 — Proxy: Multi-hop Proxy (Command and Control)
  • T1095 — Non-Application Layer Protocol (Command and Control)
  • T1571 — Non-Standard Port (Command and Control)
  • T1573.001 — Encrypted Channel: Symmetric Cryptography (Command and Control)
  • T1219 — Remote Access Software (Command and Control)
  • T1083 — File and Directory Discovery (Discovery)
  • T1082 — System Information Discovery (Discovery)
  • T1049 — System Network Connections Discovery (Discovery)
  • T1033 — System Owner/User Discovery (Discovery)
  • T1087 — Account Discovery (Discovery)
  • T1005 — Data from Local System (Collection)
  • T1560.001 — Archive Collected Data: Archive via Utility (Collection)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1003 — OS Credential Dumping (Credential Access)
  • T1649 — Steal or Forge Authentication Certificates (Credential Access)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1102 — Web Service (Command and Control)
  • T1486 — Data Encrypted for Impact (Impact)

IOC

  • IPv4 : 206.251.239.164
  • IPv4 : 199.217.98.153
  • IPv4 : 89.46.237.33
  • IPv4 : 144.172.94.59
  • IPv4 : 199.217.99.121
  • IPv4 : 188.245.41.78
  • IPv4 : 144.172.110.106
  • IPv4 : 95.217.22.175
  • IPv4 : 37.27.244.222
  • Domaines : cherryberry.click
  • Domaines : ms-server-default.com
  • Domaines : initialize-configs.com
  • Domaines : ms-global.first-update-server.com
  • Domaines : ms-sql-auth.com
  • Domaines : kolonialeru.com
  • Domaines : sclair.it.com
  • Domaines : browser-updater.com
  • Domaines : browser-updater.live
  • Domaines : os-update-server.com
  • Domaines : os-update-server.org
  • Domaines : os-update-server.live
  • Domaines : os-update-server.top
  • URLs : http://ebhmkoohccl45qesdbvrjqtyro2hmhkmh6vkyfyjjzfllm3ix72aqaid.onion/chat.php
  • SHA256 : d1caa376cb45b6a1eb3a45c5633c5ef75f7466b8601ed72c8022a8b3f6c1f3be
  • SHA256 : 6c8efbcef3af80a574cb2aa2224c145bb2e37c2f3d3f091571708288ceb22d5f
  • CVEs : CVE-2026-20131
  • Chemins : \JK-DC2\Temp

Malware / Outils

  • Interlock Ransomware (ransomware)
  • Interlock JavaScript RAT (rat)
  • Interlock Java RAT (rat)
  • HAProxy relay script (tool)
  • Interlock PowerShell reconnaissance script (tool)
  • Interlock Java webshell (backdoor)
  • ConnectWise ScreenConnect (tool)
  • Volatility (framework)
  • Certify (tool)

🔗 Source originale : https://aws.amazon.com/fr/blogs/security/amazon-threat-intelligence-teams-identify-interlock-ransomware-campaign-targeting-enterprise-firewalls/