랜섬웨어 조직, 1월부터 제로데이 공격에 Cisco 결함 악용
발행: (2026년 3월 19일 AM 01:53 GMT+9)
3 분 소요
Source: Bleeping Computer
Interlock 랜섬웨어 작전
- Interlock 랜섬웨어 작전은 2024년 9월에 등장했으며 ClickFix와 여러 영국 대학 네트워크에 NodeSnake이라는 원격 액세스 트로이목을 배포한 악성코드 공격과 연관되었습니다.
- Interlock은 다음에 대한 공격 책임을 주장했습니다:
- DaVita
- Kettering Health
- 텍사스 테크 대학교 시스템
(source) - 미네소타 주 세인트 폴 시
(source)
- 최근 IBM X‑Force 연구원들은 Interlock 운영자들이 Slopoly라는 새로운 악성코드 변종을 배포했으며, 이는 생성형 AI 도구를 사용해 만든 것으로 보인다고 보고했습니다
(source).
Cisco의 패치 및 권고
Cisco는 2026년 3월 4일에 취약점(CVE‑2026‑20131)을 패치했으며, 이 취약점이 인증되지 않은 공격자가 패치되지 않은 장치에서 루트 권한으로 임의의 Java 코드를 원격 실행할 수 있게 할 수 있다고 경고했습니다.
- 공식 Cisco 권고
- BleepingComputer의 패치 보고
Amazon 위협 인텔리전스 팀은 Interlock이 패치가 배포되기 전 한 달 이상 Secure FMC 결함을 악용해 왔다고 보고했습니다.
“이 취약점에 대한 현재 또는 과거의 악용 사례를 찾는 과정에서, 우리의 연구는 Interlock이 2026년 1월 26일에 공개되기 36 일 전부터 이 취약점을 악용하고 있었다는 것을 발견했습니다.”라고 Amazon Integrated Security의 CISO인 CJ Moses가 말했습니다.
— Amazon Security Blog
Cisco는 권고를 확인하고 고객에게 즉시 업그레이드할 것을 촉구했습니다.
2026년 추가 Cisco 제로데이 수정
올해 초부터 Cisco는 실제로 악용된 고위험 제로데이 취약점들을 여러 건 해결했습니다:
| 날짜 (2026) | 취약점 | 영향 | 참조 |
|---|---|---|---|
| January | 최대 심각도 Cisco AsyncOS 제로데이 | 11월부터 보안 이메일 어플라이언스를 침해 | |
| January | 중대한 Unified Communications 원격 코드 실행 | 제로데이 공격에 사용 | |
| February | 최대 심각도 Cisco SD‑WAN 버그 | Catalyst SD‑WAN 인증을 우회하여 악성 피어를 허용 |
업데이트
2026년 3월 18일 12:55 EDT 업데이트: Cisco 성명 추가.