SOC Prime Bias: Hoch

27 Mar 2026 13:20 UTC

Malware-Angriff auf MS-SQL-Server zur Bereitstellung des ICE Cloud Scanners (Larva-26002)

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
Malware-Angriff auf MS-SQL-Server zur Bereitstellung des ICE Cloud Scanners (Larva-26002)
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Die Bedrohungsakteure von Larva-26002 zielen wiederholt auf exponierte MS-SQL-Server durch Brute-Force-Angriffe ab. Sobald der Zugriff erlangt ist, verwendet der Angreifer Tools wie BCP, Curl oder Bitsadmin, um einen auf Go basierenden Scanner namens ICE Cloud Client herunterzuladen und zu schreiben. Dieser Scanner verbindet sich mit einem Command-and-Control-Server, erhält Anmeldedaten für zusätzliche SQL-Server und kann letztlich die Bereitstellung von Ransomware-Familien wie Trigona oder Mimic erleichtern.

Untersuchung

AhnLab dokumentierte den Missbrauch des BCP-Dienstprogramms, um eine bösartige Binärdatei aus einer Datenbanktabelle zu extrahieren und diese zu speichern als C:\ProgramData\api.exe. Die Forscher beobachteten auch alternative Download-Methoden mit Curl und Bitsadmin. Der ICE Cloud Launcher authentifiziert sich dann bei seinem C2-Server, ruft Ziellisten und Anmeldeinformationen ab und beginnt mit Brute-Force-Angriffen auf andere SQL-Server. Die Kampagne führte auch Remote-Access-Tools wie AnyDesk und Teramind ein.

Minderung

Organisationen sollten starke, einzigartige Passwörter für SQL-Konten verlangen, internetgestützte SQL-Dienste verhindern und den RDP-Zugriff streng einschränken. SQL Server und verwandte Komponenten sollten vollständig gepatcht sein, während Sicherheitsteams auf ungewöhnliche Nutzung von BCP, Curl oder Bitsadmin überwachen. Netzsegmentierung und Einbruchserkennung sollten ebenfalls verwendet werden, um verdächtigen ausgehenden Datenverkehr zu bekannter bösartiger Infrastruktur zu identifizieren.

Reaktion

Wenn diese Aktivität erkannt wird, isolieren Sie den betroffenen Host, bewahren Sie forensische Artefakte wie api.exe und Befehlshistorie auf und durchsuchen Sie die Umgebung nach ähnlichem BCP- oder Downloader-Verhalten. Blockieren Sie die bösartigen IPs und Domains, setzen Sie kompromittierte SQL-Anmeldeinformationen zurück und entfernen Sie alle eingesetzten Remote-Administration-Tools. Eine vollständige Überprüfung der Vorfallsreaktion sollte dann klären, ob eine Vorstufe oder Bereitstellung von Ransomware stattgefunden hat.

Angriffsablauf

Erkennungen

Mögliche Dienst-Aufzählung (über cmdline)

SOC Priorteam
25. März 2026

Mögliche Systemnetzwerk-Konfigurationsentdeckung (über cmdline)

SOC Priorteam
25. März 2026

Verdächtiger BCP-Ausführungsversuch (über cmdline)

SOC Priorteam
25. März 2026

Verdächtiger Dateidownload mit direkter IP (über Proxy)

SOC Priorteam
25. März 2026

Verdächtige CURL-Nutzung (über cmdline)

SOC Priorteam
25. März 2026

Mögliche Systemprozess-Aufzählung (über cmdline)

SOC Priorteam
25. März 2026

Mögliche Befehlsausführung über SQL Extended Stored Procedure xp_cmdshell (über cmdline)

SOC Priorteam
25. März 2026

Mögliche System-Aufzählung (über cmdline)

SOC Priorteam
25. März 2026

Mögliche Konto- oder Gruppenaufzählung / Manipulation (über cmdline)

SOC Priorteam
25. März 2026

IOCs (SourceIP) zum Erkennen: Malware-Angriff, der auf MS-SQL-Server abzielt, um den ICE Cloud Scanner bereitzustellen (Larva-26002)

SOC Prime AI-Regeln
25. März 2026

IOCs (DestinationIP) zum Erkennen: Malware-Angriff, der auf MS-SQL-Server abzielt, um den ICE Cloud Scanner bereitzustellen (Larva-26002)

SOC Prime AI-Regeln
25. März 2026

IOCs (HashMd5) zum Erkennen: Malware-Angriff, der auf MS-SQL-Server abzielt, um den ICE Cloud Scanner bereitzustellen (Larva-26002)

SOC Prime AI-Regeln
25. März 2026

Malwareerstellung und -ausführung auf MS-SQL-Servern [Windows Prozess-Erstellung]

SOC Prime AI-Regeln
25. März 2026

Simulationsausführung

Voraussetzung: Der Telemetrie- & Baseline-Vorab-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die dazu gedacht ist, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die durch die Erkennung erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle:

    1. Aufklärung auf dem kompromittierten SQL-Host – Der Angreifer listet Host-Identität und aktive Netzwerkschnittstellen auf mit hostname and netstat -an.
    2. Vorbereitung auf laterale Bewegung – Der Angreifer listet laufende Prozesse auf, um zu bestätigen, dass sqlservr.exe vorhanden ist und dass das Ziel ein SQL-Server ist.
    3. Malware-Download über natives Dienstprogramm – Verwendet bcp.exe, missbraucht der Angreifer die Fähigkeit des Dienstprogramms, ein externes Programm aufzurufen (-e Schalter) um eine bösartige Nutzlast (api.exe) von einem entfernten C2-Server herunterzuladen.
    4. Ausführung der Nutzlast – Die heruntergeladene api.exe wird gestartet, um Persistenz zu etablieren.
  • Regressionstest-Skript: (PowerShell – komplett eigenständig)

    # ------------------------------------------------------------
    # Simulierter Angriff auf einen Windows-SQL-Server-Host
    # ------------------------------------------------------------
    $tempDir = "$env:TEMPlarva26002"
    New-Item -Path $tempDir -ItemType Directory -Force | Out-Null
    
    # 1. Systeminformationssammlung (löst selection_info aus)
    hostname
    whoami
    netstat -an
    tasklist /FI "IMAGENAME eq sqlservr.exe" /FO CSV /NH
    
    # 2. Bösartige Nutzlast mit BCP herunterladen (löst selection_malware aus)
    # Simulieren Sie eine Remote-Datei, indem Sie lokal eine Dummy-exe erstellen
    $maliciousExe = "$tempDirapi.exe"
    Set-Content -Path $maliciousExe -Value "FakeMalware" -Encoding ASCII
    
    # BCP Befehl, der "api.exe" über den -e-Schalter aufruft (Ausführung eines externen Programms)
    $bcpCmd = @"
    bcp "SELECT TOP (1) name FROM master.dbo.spt_values" queryout NUL -c -t, -S localhost -T -e "$maliciousExe"
    "@
    Invoke-Expression $bcpCmd
    
    # 3. Nutzlast ausführen (zusätzlich beobachtbarer Prozess)
    Start-Process -FilePath $maliciousExe -WindowStyle Hidden
    
    # Aufräumverzögerung (Ermöglicht SIEM das Einlesen)
    Start-Sleep -Seconds 10
  • Aufräumkommandos:

    # Temporäre Dateien entfernen und verbleibende Fake-Prozesse stoppen
    Stop-Process -Name "api" -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPlarva26002" -Recurse -Force