威胁行为者仍在瞄准暴露的 Microsoft SQL Server 系统凭证较弱,最新的有效负载是名为 ICE Cloud Client 的扫描仪。根据 AhnLab 的 ASEC 团队的说法,该活动链接回 Larva-26002,该集群之前使用 Trigona 和 Mimic 勒索软件,现在已转向针对更多 MS-SQL 目标进行扫描和暴力操作。
ASEC 表示,该活动至少从 2024 年 1 月到 2026 年 3 月一直保持活跃,运营商在更新工具时重复使用同一剧本的部分内容。在最新的案例中,该组织在早期活动使用勒索软件以及后来使用基于 Rust 的扫描程序后,使用了基于 Go 的 ICE Cloud 工具集。
管理员面临的实际风险很简单。安全性较差的面向互联网的 SQL Server 既可能成为受害者,也可能成为更多攻击的发起点。微软自己的 SQL Server 安全指南警告说,暴力破解、密码喷射和勒索软件仍然是常见的基础设施威胁,并建议采用强密码、修补、访问控制和深度防御保护。
ASEC 的报告显示攻击者仍然关注暴露于互联网且容易受到暴力或字典攻击的系统。获得访问权限后,他们会分析主机、创建或下载恶意软件、连接到命令和控制服务器,然后使用受感染的计算机扫描其他 MS-SQL 端点。
ASEC 所说的事情发生了
ASEC 称 Larva-26002针对管理不当的 MS-SQL 服务器,使用合法的 bcp.exe 实用程序将恶意软件从数据库表写入磁盘,并在某些情况下在需要时回退到curl、Bitsadmin 或 PowerShell。新链以 ICE 云客户端结束,它充当扫描仪和暴力工具。
研究人员还表示,该恶意软件包含土耳其语言字符串,他们将这一细节与早期的 Mimic 相关活动联系起来。他们进一步注意到二进制文件中类似表情符号的元素,并表示这些细节表明开发人员可能在部分编码过程中使用了生成式人工智能。
感染链如何运作
| 阶段 | 攻击者做什么 | 为什么这很重要 |
|---|---|---|
| 初始访问 | 针对具有弱凭据的暴露于互联网的 MS-SQL 服务器 | 弱密码为暴力破解打开了大门 |
| 侦察 | 运行主机名、whoami、ifconfig、netstat 和任务列表等命令 | 帮助攻击者了解主机和活动服务 |
| 恶意软件传递 | 使用 bcp.exe 将恶意软件从表 uGnzBdZbsi 导出到 C:\ProgramData\api.exe,通常使用格式文件 FODsOZKgAU.txt | 显示 ASEC 自 2024 年以来重复跟踪的间谍活动 |
| 替代交付 | 使用curl、Bitsadmin或PowerShell来获取api.exe | 当 BCP 失败时为 Actor 提供后备方案 |
| 有效载荷阶段 | 启动 ICE Cloud Launcher,然后从 C2 下载 ICE Cloud Client | 将服务器变成扫描节点 |
| 后续活动 | 接收目标 MS-SQL 地址和凭证对,例如 ecomm/ecomm | 让受感染的主机探测其他数据库服务器是否成功登录 |
为什么这次活动很重要
这不再只是勒索软件的故事。该活动现在看起来更像是基础设施建设。攻击者似乎不仅使用加密系统,还使用受损的 SQL 服务器作为扫描仪来测试更多数据库端点并将成功结果发送回控制服务器。这为运营商提供了一张不断增长的可访问且保护较弱的数据库资产的地图。
这种转变很重要,因为它可以悄然扩展。基于扫描仪的活动可以继续为未来的入侵、数据盗窃、横向移动或勒索软件部署提供支持。即使直接有效负载不是加密,妥协仍然意味着严重的暴露。
管理员现在应该检查什么
- 检查是否可以从公共 Internet 直接访问任何 SQL Server 实例。 Microsoft 文档强调 SQL Server 环境的访问控制和防火墙保护。
- 审核 SQL 身份验证设置并检查所有高权限帐户,尤其是较旧或很少使用的帐户。微软表示,弱密码和不小心使用 sa 帐户会增加风险。
- 寻找可疑文件,例如 C:\ProgramData\ 下的 api.exe,以及数据库主机上 bcp.exe、curl、Bitsadmin 或 PowerShell 的奇怪使用。 ASEC 在这次活动中特别观察了这些方法。
- 检查 SQL 服务器的出站连接是否存在到陌生主机的意外流量。 ASEC 表示,该恶意软件通过 C2 服务器进行身份验证、下载扫描程序并发回成功结果。
- 轮换 SQL 登录密码,并尽可能禁用或重命名有风险的帐户。微软建议使用强密码,并表示除非应用程序确实需要,否则不应启用 sa 登录。
- 运行漏洞评估和一般强化审查。 Microsoft 建议进行漏洞评估、审核、修补和分层安全控制来减少暴露。
值得紧急审查的指标
- 针对 MS-SQL 的重复登录尝试失败
- C:\ProgramData\ 中的新文件或无法解释的文件
- 在很少导出数据的服务器上异常执行 bcp.exe
- 数据库服务器上的 Bitsadmin 或curl 活动
- 来自 SQL 主机的意外出站流量
- 表明服务器正在尝试对大量外部 MS-SQL 地址进行身份验证
底线
组织应将此活动视为一个警告,表明安全薄弱的 SQL Server 系统仍然是一个容易攻击的目标。 ASEC 的最新调查结果显示,Larva-26002 两年多来一直在不断完善相同的攻击路径,而微软自己的指南仍然指向相同的基础:减少暴露、锁定身份验证、修补系统以及密切关注合法工具的滥用。
FAQ
什么是ICE云客户端?
ASEC 将 ICE Cloud Client 描述为基于 Go 的扫描程序和 MS-SQL 泄露后使用的暴力恶意软件。它从控制服务器接收目标并向该服务器报告成功的访问。
谁是袭击的幕后黑手?
AhnLab 将此次活动归咎于 Larva-26002,该威胁参与者此前曾分发 Trigona 和 Mimic 勒索软件,然后转向在受感染系统上部署扫描仪。
攻击者如何进入?
ASEC 表示,该组织的目标是暴露在互联网上的 MS-SQL 服务器,这些服务器使用简单的凭据,并使用暴力或字典方法对其进行攻击。 Microsoft 单独列出了主要 SQL Server 基础设施威胁中的暴力破解和密码喷射。
为什么 bcp.exe 在这里很重要?
BCP 是一个合法的 SQL Server 命令行实用程序,用于导入和导出数据。 ASEC 表示,攻击者滥用它将恶意软件从表写入受感染服务器上的本地文件路径。