Ataque de Malware Alvejando Servidores MS-SQL para Implantar o ICE Cloud Scanner (Larva-26002)

Ruslan Mikhalov Chefe de Pesquisa de Ameaças na SOC Prime

Seguir

Ataque de Malware Alvejando Servidores MS-SQL para Implantar o ICE Cloud Scanner (Larva-26002)

Detection stack

AIDR
Alert
ETL
Query

Relatório de Ameaça
Fluxo de Ataque
Detecções
Simulações

Resumo

O ator de ameaça Larva-26002 tem como alvo repetidamente servidores MS-SQL expostos através de ataques de força bruta. Uma vez obtido o acesso, o invasor utiliza ferramentas como BCP, Curl ou Bitsadmin para baixar e escrever um scanner baseado em Go conhecido como ICE Cloud Client. Este scanner se conecta a um servidor de comando e controle, recebe credenciais para servidores SQL adicionais e pode, em última instância, facilitar a implantação de famílias de ransomware como Trigona ou Mimic.

Investigação

A AhnLab documentou o abuso do utilitário BCP para extrair um binário malicioso de uma tabela de banco de dados e salvá-lo como C:\ProgramData\api.exe. Os pesquisadores também observaram métodos alternativos de download usando Curl e Bitsadmin. O ICE Cloud Launcher então se autentica no servidor C2, recupera listas de alvos e credenciais, e começa a forçar outros servidores SQL. A campanha também introduziu ferramentas de acesso remoto, como AnyDesk e Teramind.

Mitigação

As organizações devem exigir senhas fortes e únicas para contas SQL, impedir serviços SQL expostos à internet e restringir rigorosamente o acesso RDP. O SQL Server e os componentes relacionados devem estar totalmente atualizados, enquanto as equipes de segurança monitoram o uso incomum de BCP, Curl ou Bitsadmin. Segmentação de rede e detecção de intrusões também devem ser usadas para identificar comunicações externas suspeitas com infraestrutura maliciosa conhecida.

Resposta

Se esta atividade for detectada, isole o host afetado, preserve artefatos forenses como api.exe e histórico de comandos, e procure no ambiente por comportamento similar de BCP ou download. Bloqueie os IPs e domínios maliciosos, redefina credenciais SQL comprometidas e remova quaisquer ferramentas de administração remota implantadas. Uma revisão completa da resposta a incidentes deve então determinar se houve preparação ou implantação de ransomware.

"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef technique fill:#cccccc classDef malware fill:#ff9999 classDef operator fill:#ff9900 %% Nodes action_initial_access["Ação – T1110.003 Força Bruta: Pulverização de Senhas O atacante força o acesso a serviços MSu2011SQL expostos para obter credenciais."] class action_initial_access action tool_mssql["Ferramenta – Nome: Microsoft SQL Server Propósito: Serviço alvo para roubo de credenciais"] class tool_mssql tool tech_valid_accounts["Técnica – T1078 Contas Válidas Uso de credenciais obtidas para logar em servidores SQL"] class tech_valid_accounts technique tech_cmd_shell["Técnica – T1059.003 Shell de Comando do Windows Executar comandos de sistema (hostname, whoami, ifconfig, netstat, tasklist)"] class tech_cmd_shell technique tech_network_config["Técnica – T1016 Descoberta da Configuração de Rede do Sistema"] class tech_network_config technique tech_network_conn["Técnica – T1049 Descoberta das Conexões de Rede do Sistema"] class tech_network_conn technique tech_process_disc["Técnica – T1057 Descoberta de Processos"] class tech_process_disc technique tool_curl["Ferramenta – Nome: curl Propósito: Baixar carga maliciosa"] class tool_curl tool tool_bitsadmin["Ferramenta – Nome: bitsadmin Propósito: Baixar carga maliciosa"] class tool_bitsadmin tool tool_bcp["Ferramenta – Nome: BCP (Bulk Copy Program) Propósito: Exportar dados binários para criar api.exe"] class tool_bcp tool tech_masquerade["Técnica – T1036.003 Mascaramento: Renomear Utilitários do Sistema Carga disfarçada como um programa legítimo"] class tech_masquerade technique malware_api["Malware – Nome: api.exe Função: Agente ICE Cloud Launcher C2"] class malware_api malware tech_c2_web["Técnica – T1071.001 Protocolos Web Comunicação C2 via HTTP"] class tech_c2_web technique tech_c2_websvc["Técnica – T1102.002 Serviço Web: Resolver de Deposição Morta"] class tech_c2_websvc technique action_lateral_movement["Ação – T1078 Contas Válidas Usar credenciais para autenticar em servidores MSSQL adicionais"] class action_lateral_movement action tech_exploit_remote["Técnica – T1210 Exploração de Serviços Remotos Encaminhamento de portas ou RDP para movimento lateral"] class tech_exploit_remote technique tool_anydesk["Ferramenta – Nome: AnyDesk Propósito: Controle remoto"] class tool_anydesk tool tool_teramind["Ferramenta – Nome: Teramind Propósito: Monitoramento remoto"] class tool_teramind tool action_data_exfil["Ação – Coleta e Exfiltração de Dados Varredura e exfiltração de dados de configuração"] class action_data_exfil action %% Connections action_initial_access –>|alvos| tool_mssql tool_mssql –>|habilita| tech_valid_accounts tech_valid_accounts –>|permite| tech_cmd_shell tech_cmd_shell –>|reúne| tech_network_config tech_cmd_shell –>|reúne| tech_network_conn tech_cmd_shell –>|reúne| tech_process_disc tech_cmd_shell –>|baixa carga usando| tool_curl tech_cmd_shell –>|baixa carga usando| tool_bitsadmin tech_cmd_shell –>|usa| tool_bcp tool_bcp –>|cria| malware_api malware_api –>|mascara-se como| tech_masquerade malware_api –>|comunica-se via| tech_c2_web malware_api –>|usa| tech_c2_websvc malware_api –>|habilita| action_lateral_movement action_lateral_movement –>|alavanca| tech_exploit_remote tech_exploit_remote –>|instala| tool_anydesk tech_exploit_remote –>|instala| tool_teramind tool_anydesk –>|facilita| action_data_exfil tool_teramind –>|facilita| action_data_exfil "

Fluxo de Ataque

Narrativa de Ataque & Comandos:
1. Reconhecimento no host SQL comprometido – O atacante enumera a identidade do host e as interfaces de rede ativas usando hostname and netstat -an.
2. Preparação para movimento lateral – O atacante lista processos em execução para verificar se sqlservr.exe está presente, confirmando que o alvo é um servidor SQL.
3. Download de malware via utilitário nativo – Usando bcp.exe, o atacante abusa da capacidade do utilitário de invocar um programa externo (-e interruptor) para baixar uma carga maliciosa (api.exe) de um servidor remoto C2.
4. Execução da carga – O api.exe baixado é lançado, estabelecendo persistência.

Script de Teste de Regressão: (PowerShell – totalmente autônomo)

# ------------------------------------------------------------
# Simulação de ataque contra um host Windows SQL Server
# ------------------------------------------------------------
$tempDir = "$env:TEMPlarva26002"
New-Item -Path $tempDir -ItemType Directory -Force | Out-Null

# 1. Reunião de informações do sistema (triggers selection_info)
hostname
whoami
netstat -an
tasklist /FI "IMAGENAME eq sqlservr.exe" /FO CSV /NH

# 2. Baixar carga maliciosa usando BCP (triggers selection_malware)
# Simule um arquivo remoto criando um exe fictício localmente
$maliciousExe = "$tempDirapi.exe"
Set-Content -Path $maliciousExe -Value "FakeMalware" -Encoding ASCII

# Comando BCP que chama o "api.exe" via o interruptor -e (execução de programa externo)
$bcpCmd = @"

Comandos de Limpeza:

# Remova arquivos temporários e pare qualquer processo falso restante
Stop-Process -Name "api" -ErrorAction SilentlyContinue
Remove-Item -Path "$env:TEMPlarva26002" -Recurse -Force

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente