AhnLab SEcurity intelligence Center (ASEC) сообщила, что группа Larva-26002 в 2026 году продолжает атаковать плохо администрируемые MS-SQL-серверы, доступные из интернета. В новых атаках злоумышленники используют не шифровальщик, а вредоносный сканер ICE Cloud Client, написанный на Go.
По данным ASEC, эта активность — продолжение одной и той же линии атак, которую аналитики отслеживают как минимум с января 2024 года. Тогда атакующие использовали уязвимую конфигурацию MS-SQL и слабые учётные данные для развёртывания Trigona и Mimic ransomware, а в 2025 году применяли уже другой набор инструментов, включая сканер на Rust и средство удалённого управления Teramind. В 2026 году схема снова изменилась: теперь на скомпрометированных серверах разворачивается ICE Cloud Client.
ASEC пишет, что злоумышленники ищут MS-SQL-серверы, выставленные наружу, и пытаются подобрать пароль через brute force и dictionary attacks — то есть перебор и словарные атаки по слабым логинам и паролям. После успешного входа они запускают стандартные системные команды для разведки: hostname, whoami, netstat -an, tasklist и другие.
Дальше используется легитимная утилита BCP (Bulk Copy Program). В штатном режиме она нужна для массового импорта и экспорта данных в SQL Server. Microsoft описывает bcp именно как стандартный инструмент командной строки для выгрузки и загрузки больших объёмов данных, а также для создания format files. В расследованной атаке эта же утилита применяется не по назначению: вредоносный файл хранится в таблице базы, а затем выгружается на диск как C:\ProgramData\api.exe.
ASEC отдельно указывает, что в наблюдавшихся случаях фигурировали одни и те же артефакты, уже встречавшиеся раньше: таблица uGnzBdZbsi и файл форматирования FODsOZKgAU.txt. Если выгрузка через BCP по какой-то причине не срабатывает, атакующие используют альтернативный путь — скачивают файл через curl, bitsadmin или PowerShell.
Файл api.exe, который появляется на сервере, выступает как загрузчик. Он связывается с командным сервером, проходит аутентификацию и затем получает основной модуль — ICE Cloud Client. Этот модуль ASEC описывает как сканер и инструмент для перебора учётных данных. После запуска он получает от C2-сервера список адресов MS-SQL и пары логин/пароль, пробует подключаться к ним и отправляет результаты обратно.
В отчёте сказано, что ICE Cloud Client написан на Go, тогда как в предыдущих атаках 2025 года использовался сканер на Rust. Также ASEC обнаружила в бинарнике строки на турецком языке. Это важно, потому что схожие признаки аналитики уже связывали с более ранними атаками, где фигурировали Mimic и Trigona.
Главная проблема во внешне доступном SQL сервере со слабой аутентификацией. Microsoft раньше уже предупреждала, что злоумышленники регулярно атакуют internet-exposed MSSQL-серверы через перебор паролей, а в рекомендациях по безопасности советует выстраивать защиту по принципу defense in depth, использовать минимально необходимые привилегии и аккуратно подходить к аутентификации и ролям.
ASEC рекомендует проверить, не доступны ли MS-SQL-серверы напрямую из интернета, и убедиться, что у SQL-аккаунтов нет простых паролей. Отдельно стоит смотреть на необычное использование BCP, появление api.exe в C:\ProgramData\, неизвестные исходящие соединения и следы загрузки файлов через curl, bitsadmin или PowerShell.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
