SOC Prime Bias: Високий

27 Mar 2026 13:20 UTC

Кібернапад із використанням шкідливого програмного забезпечення на сервери MS‑SQL для розгортання ICE Cloud Scanner (Larva-26002)

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Кібернапад із використанням шкідливого програмного забезпечення на сервери MS‑SQL для розгортання ICE Cloud Scanner (Larva-26002)
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Зловмисник Larva-26002 неодноразово атакує відкриті MS-SQL сервери через атаки brute-force. Коли доступ отримано, зловмисник використовує такі інструменти, як BCP, Curl або Bitsadmin, щоб завантажити й записати сканер на базі Go, відомий як ICE Cloud Client. Цей сканер підключається до сервера команд та управління, отримує облікові дані для додаткових SQL серверів і зрештою може сприяти розгортанню сімейств програм-вимагачів, таких як Trigona або Mimic.

Розслідування

AhnLab задокументував зловживання утилітою BCP для вилучення шкідливого бінарного файлу з таблиці бази даних та збереження як C:\ProgramData\api.exe. Дослідники також спостерігали альтернативні методи завантаження з використанням Curl та Bitsadmin. ICE Cloud Launcher потім аутентифікується на своєму C2 сервері, отримує списки цілей та облікових даних і починає brute-forsing інших SQL серверів. Кампанія також включає впровадження інструментів віддаленого доступу, таких як AnyDesk і Teramind.

Захист

Організації повинні вимагати сильні, унікальні паролі для облікових записів SQL, запобігати інтернет-доступу до SQL сервісів та суворо обмежувати доступ за RDP. SQL Server та відповідні компоненти повинні бути повністю оновлені, а команди безпеки мають відстежувати незвичайне використання BCP, Curl або Bitsadmin. Сегментація мережі та виявлення вторгнень також повинні бути застосовані для ідентифікації підозрілих вихідних з’єднань з відомих шкідливих інфраструктур.

Відповідь

Якщо виявлено цю активність, ізолюйте уражений хост, збережіть судові артефакти, такі як api.exe і історію команд, а також проведіть пошук у середовищі на подібну поведінку BCP або завантаження. Блокуйте шкідливі IP-адреси та домени, перезавантажте контрольовані SQL облікові дані та видаліть всі розгорнуті інструменти дистанційного адміністрування. Повний огляд інциденту повинен визначити, чи сталося розгортання або підготовка ransomware.

Поточний процес атаки

Детекції

Можлива перевірка сервісів (через командний рядок)

Команда SOC Prime
25 березня 2026

Можливе виявлення конфігурації системи мережі (через командний рядок)

Команда SOC Prime
25 березня 2026

Підозріла спроба виконання Bulk Copy Tool SQL (через командний рядок)

Команда SOC Prime
25 березня 2026

Підозріле завантаження файлу безпосередньо за IP (через проксі)

Команда SOC Prime
25 березня 2026

Підозріле використання CURL (через командний рядок)

Команда SOC Prime
25 березня 2026

Можливий перегляд системних процесів (через командний рядок)

Команда SOC Prime
25 березня 2026

Можливе виконання команди через SQL розширену збережену процедуру xp_cmdshell (через командний рядок)

Команда SOC Prime
25 березня 2026

Можливе дослідження системи (через командний рядок)

Команда SOC Prime
25 березня 2026

Можливе дослідження або маніпуляція облікових записів або груп (через командний рядок)

Команда SOC Prime
25 березня 2026

Індикатори компрометації (SourceIP) для виявлення: Атака шкідливого програмного забезпечення націлена на MS‐SQL сервери для розгортання ICE Cloud Scanner (Larva-26002)

Правила AI SOC Prime
25 березня 2026

Індикатори компрометації (DestinationIP) для виявлення: Атака шкідливого програмного забезпечення націлена на MS‐SQL сервери для розгортання ICE Cloud Scanner (Larva-26002)

Правила AI SOC Prime
25 березня 2026

Індикатори компрометації (HashMd5) для виявлення: Атака шкідливого програмного забезпечення націлена на MS‐SQL сервери для розгортання ICE Cloud Scanner (Larva-26002)

Правила AI SOC Prime
25 березня 2026

Створення та виконання шкідливого програмного забезпечення на MS-SQL серверах [Створення процесу в Windows]

Правила AI SOC Prime
25 березня 2026

Виконання симуляцій

Передумова: Тест передпольоту телеметрії та базової лінії має бути успішним.

Обґрунтування: Цей розділ детально описує точне виконання методики супротивника (TTP), призначеної для активації правила детекції. Команди та наратив МУСЯТЬ безпосередньо відображати ідентифіковані TTP та мати на меті генерацію точної телеметрії, яку очікує логіка детекції. Абстрактні або не пов’язані приклади призведуть до помилкового діагнозу.

  • Опис атаки та команди:

    1. Розвідка на зламаному SQL-хості – Нападник перелічує ідентичність хоста та активні мережеві інтерфейси за допомогою hostname and netstat -an.
    2. Підготовка до латерального переміщення – Нападник перелічує запущені процеси, щоб переконатися, що sqlservr.exe присутній, підтверджуючи, що ціль є сервером SQL.
    3. Завантаження шкідливого програмного забезпечення за допомогою вбудованої утиліти – Використовуючи bcp.exe, нападник зловживає можливістю утиліти викликати зовнішню програму (-e переключатель) для завантаження шкідливого навантаження (api.exe) з віддаленого C2 сервера.
    4. Виконання навантаження – Завантажений api.exe запускається, встановлюючи стійкість.
  • Сценарій регресійного тестування: (PowerShell – повністю самодостатній)

    # ------------------------------------------------------------
    # Симульована атака проти Windows SQL Server хоста
    # ------------------------------------------------------------
    $tempDir = "$env:TEMPlarva26002"
    New-Item -Path $tempDir -ItemType Directory -Force | Out-Null
    
    # 1. Збір інформації про систему (активація selection_info)
    hostname
    whoami
    netstat -an
    tasklist /FI "IMAGENAME eq sqlservr.exe" /FO CSV /NH
    
    # 2. Завантаження шкідливого програмного забезпечення з використанням BCP (активація selection_malware)
    # Симуляція віддаленого файла шляхом створення підробленого exe локально
    $maliciousExe = "$tempDirapi.exe"
    Set-Content -Path $maliciousExe -Value "FakeMalware" -Encoding ASCII
    
    # Команда BCP, яка викликає "api.exe" через опцію -e (виконання зовнішньої програми)
    $bcpCmd = @"
    bcp "SELECT TOP (1) name FROM master.dbo.spt_values" queryout NUL -c -t, -S localhost -T -e "$maliciousExe"
    "@
    Invoke-Expression $bcpCmd
    
    # 3. Виконання навантаження (додатковий спостережуваний процес)
    Start-Process -FilePath $maliciousExe -WindowStyle Hidden
    
    # Затримка очищення (дозволити SIEM поглинати)
    Start-Sleep -Seconds 10
  • Команди очищення:

    # Видалення тимчасових файлів і зупинка будь-якого залишкового підробленого процесу
    Stop-Process -Name "api" -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPlarva26002" -Recurse -Force