フォローする 
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
Larva-26002 の脅威アクターは公開された MS-SQL サーバーをブルートフォース攻撃で繰り返し標的にしています。アクセスを取得すると、攻撃者は BCP、Curl、Bitsadmin などのツールを使用して、ICE Cloud Client として知られる Go ベースのスキャナをダウンロードして書き込みます。このスキャナはコマンド・アンド・コントロールサーバーに接続し、追加の SQL サーバーの資格情報を受け取り、最終的に Trigona や Mimic といったランサムウェアのファミリーの展開を促進する可能性があります。
調査
AhnLab は BCP ユーティリティを悪用して、データベーステーブルから悪意のあるバイナリを抽出し、 C:\ProgramData\api.exeとして保存することを記録しました。研究者たちは、Curl や Bitsadmin を使った別のダウンロード方法も観察しました。ICE Cloud Launcher は C2 サーバーに認証し、ターゲットリストと資格情報を取得し、他の SQL サーバーをブルートフォースし始めます。このキャンペーンは AnyDesk や Teramind のようなリモートアクセスツールも導入しました。
緩和策
組織は SQL アカウントに対して強力かつユニークなパスワードを要求し、インターネット上の SQL サービスの公開を防ぎ、RDP アクセスを厳しく制限する必要があります。SQL サーバーと関連するコンポーネントは完全にパッチ適用されるべきであり、セキュリティチームは BCP、Curl、Bitsadmin の異常な使用を監視すべきです。ネットワークの分割と侵入検出も使用して、既知の悪意のあるインフラストラクチャへの疑わしい外向きの通信を特定するようにするべきです。
対応
この活動が検出された場合、影響を受けたホストを隔離し、法医学的データ(例えば、 api.exe やコマンド履歴)を保持し、同様の BCP またはダウンローダーの挙動を環境内で検索してください。悪意のある IP とドメインをブロックし、侵害された SQL の資格情報をリセットし、展開されたリモート管理ツールを削除してください。その後、完全なインシデント対応レビューを行って、ランサムウェアのステージングや展開が行われたかどうかを決定してください。
"graph TB %% クラス定義 classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef technique fill:#cccccc classDef malware fill:#ff9999 classDef operator fill:#ff9900 %% ノード action_initial_access["<b>アクション</b> – <b>T1110.003 ブルートフォース:パスワードスプレー</b><br/>攻撃者は公開された MSu2011SQL サービスをブルートフォースして資格情報を取得します。"] class action_initial_access action tool_mssql["<b>ツール</b> – <b>名前</b>: Microsoft SQL Server<br/><b>目的</b>: 資格情報窃取のターゲットサービス"] class tool_mssql tool tech_valid_accounts["<b>技術</b> – <b>T1078 有効なアカウント</b><br/>取得した資格情報を使用して SQL サーバーにログインする"] class tech_valid_accounts technique tech_cmd_shell["<b>技術</b> – <b>T1059.003 Windows コマンドシェル</b><br/>システムコマンドを実行する (hostname, whoami, ifconfig, netstat, tasklist)"] class tech_cmd_shell technique tech_network_config["<b>技術</b> – <b>T1016 システムネットワーク構成の発見</b>"] class tech_network_config technique tech_network_conn["<b>技術</b> – <b>T1049 システムネットワーク接続の発見</b>"] class tech_network_conn technique tech_process_disc["<b>技術</b> – <b>T1057 プロセスの発見</b>"] class tech_process_disc technique tool_curl["<b>ツール</b> – <b>名前</b>: curl<br/><b>目的</b>: 悪意のあるペイロードのダウンロード"] class tool_curl tool tool_bitsadmin["<b>ツール</b> – <b>名前</b>: bitsadmin<br/><b>目的</b>: 悪意のあるペイロードのダウンロード"] class tool_bitsadmin tool tool_bcp["<b>ツール</b> – <b>名前</b>: BCP (Bulk Copy Program)<br/><b>目的</b>: バイナリデータをエクスポートしてapi.exeを作成する"] class tool_bcp tool tech_masquerade["<b>技術</b> – <b>T1036.003 偽装:システムユーティリティの名前変更</b><br/>ペイロードが正規のプログラムに偽装される"] class tech_masquerade technique malware_api["<b>マルウェア</b> – <b>名前</b>: api.exe<br/><b>機能</b>: ICE Cloud Launcher C2 エージェント"] class malware_api malware tech_c2_web["<b>技術</b> – <b>T1071.001 ウェブプロトコル</b><br/>HTTP を介した C2 通信"] class tech_c2_web technique tech_c2_websvc["<b>技術</b> – <b>T1102.002 ウェブサービス: デッドドロップリゾルバー</b>"] class tech_c2_websvc technique action_lateral_movement["<b>アクション</b> – <b>T1078 有効なアカウント</b><br/>追加の MSSQL サーバーに認証するために資格情報を使用する"] class action_lateral_movement action tech_exploit_remote["<b>技術</b> – <b>T1210 リモートサービスのエクスプロイト</b><br/>ポートフォワーディングまたはRDPを介した横方向の移動"] class tech_exploit_remote technique tool_anydesk["<b>ツール</b> – <b>名前</b>: AnyDesk<br/><b>目的</b>: リモートコントロール"] class tool_anydesk tool tool_teramind["<b>ツール</b> – <b>名前</b>: Teramind<br/><b>目的</b>: リモートモニタリング"] class tool_teramind tool action_data_exfil["<b>アクション</b> – <b>データ収集と抽出</b><br/>構成データのスキャンと抽出"] class action_data_exfil action %% 接続 action_initial_access –>|targets| tool_mssql tool_mssql –>|enables| tech_valid_accounts tech_valid_accounts –>|allows| tech_cmd_shell tech_cmd_shell –>|gathers| tech_network_config tech_cmd_shell –>|gathers| tech_network_conn tech_cmd_shell –>|gathers| tech_process_disc tech_cmd_shell –>|downloads payload using| tool_curl tech_cmd_shell –>|downloads payload using| tool_bitsadmin tech_cmd_shell –>|uses| tool_bcp tool_bcp –>|creates| malware_api malware_api –>|masquerades as| tech_masquerade malware_api –>|communicates via| tech_c2_web malware_api –>|uses| tech_c2_websvc malware_api –>|enables| action_lateral_movement action_lateral_movement –>|leverages| tech_exploit_remote tech_exploit_remote –>|installs| tool_anydesk tech_exploit_remote –>|installs| tool_teramind tool_anydesk –>|facilitates| action_data_exfil tool_teramind –>|facilitates| action_data_exfil "
攻撃フロー
検出
可能性のあるサービス列挙(cmdline 経由)
表示
可能性のあるシステムネットワーク構成の発見(cmdline 経由)
表示
疑わしい SQL 大量コピー ツール実行試行(cmdline 経由)
表示
疑わしいファイルのダウンロード 直接 IP(プロキシ経由)
表示
疑わしい CURL 利用(cmdline 経由)
表示
可能性のあるシステムプロセスの列挙(cmdline 経由)
表示
可能性のあるコマンド実行 SQL 拡張ストアドプロシージャ xp_cmdshell 経由(cmdline 経由)
表示
可能性のあるシステム列挙(cmdline 経由)
表示
可能性のあるアカウントまたはグループの列挙 / 操作(cmdline 経由)
表示
悪意のある攻撃を検出するための IOCs(SourceIP):ICE Cloud スキャナー(Larva-26002)を展開するための MS‐SQL サーバーをターゲットにしたマルウェア攻撃
表示
悪意のある攻撃を検出するための IOCs(DestinationIP):ICE Cloud スキャナー(Larva-26002)を展開するための MS‐SQL サーバーをターゲットにしたマルウェア攻撃
表示
悪意のある攻撃を検出するための IOCs(HashMd5):ICE Cloud スキャナー(Larva-26002)を展開するための MS‐SQL サーバーをターゲットにしたマルウェア攻撃
表示
MS-SQL サーバーでのマルウェア作成と実行 [Windows プロセス作成]
表示
シミュレーション実行
前提条件:テレメトリ & ベースライン事前チェックが成功していなければなりません。
理由:このセクションは、検出ルールをトリガーするために設計された敵手法 (TTP) の正確な実行を詳細に説明します。コマンドと物語は、特定された TTPs を直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。抽象的または無関連な例は誤診を引き起こします。
-
攻撃物語 & コマンド:
- 侵害された SQL ホストでの偵察 – 攻撃者は、
hostnameandnetstat -an. - を使用してホストのアイデンティティとアクティブなネットワークインターフェイスを列挙します。 横方向移動の準備
– 攻撃者は、– 攻撃者は、 - が存在することを確認するために、実行中のプロセスを列挙し、ターゲットが SQL サーバーであることを確認します。 ネイティブユーティリティを使用したマルウェアのダウンロード
––-eを使用して、ユーティリティの外部プログラムを呼び出す能力を悪用(api.exeスイッチ)して、リモート C2 サーバーから悪意のあるペイロード( - )をダウンロードします。 ペイロードの実行
api.exe– ダウンロードされた
- 侵害された SQL ホストでの偵察 – 攻撃者は、
-
が起動され、持続性を確立します。 リグレッションテストスクリプト:
(PowerShell – 完全に自己完結型) -
後処理コマンド:
一時ファイルを削除し、残っている可能性のある偽プロセスを停止します。