2026-ban is folytatódnak a Microsoft SQL Server (MS-SQL)rendszereket célzó, egyre kifinomultabb támadások. Az elemzések szerinta támadók egy új „ICE Cloud Client” néven azonosított kártevőt alkalmaznak, amely további fertőzések előkészítésére szolgál.
Az AhnLab Security Intelligence Center (ASEC) elemzése szerint a kampányok a Larva-26002 csoporthoz köthetők, akik elsősorban a nem megfelelően védett, interneten közvetlenül elérhető MS-SQL szervereket támadják. A kompromittálás jellemzően brute-force vagy szótáralapú támadásokkal történik. Sikeres hozzáférés esetén a támadók alapvető rendszerinformációkat gyűjtenek, többek között: hosztnevet, felhasználói kontextust, hálózati konfigurációt, aktív kapcsolatokat, valamint futó folyamatokat.
A Larva-26002 csoport korábbi kampányaiban zsarolóprogramokat terjesztett, például a Trigona és Mimic ransomware változatait. A támadási módszerek az elmúlt években folyamatosan fejlődtek, a korábbi években használt eszközöket felváltotta, a Go nyelven fejlesztett „ICE Cloud Client” nevű kártevő.
A kampányok során visszatérő technika az MS-SQL szerver Bulk Copy Program (BCP) segédprogramjának kihasználása. A módszer során a támadók az adatbázistáblákban tárolt kártékony komponenseket exportálják a célrendszerre, majd végrehajtható állományként futtatják. A legutóbbi esetekben egy „uGnzBdZbsi” elnevezésű táblából exportálnak egy „C:\ProgramData\api[.]exe” fájlt. Amennyiben a BCP nem használható, a támadók alternatív eszközökkel, mint például curl, bitsadmin vagy PowerShell töltik le a kártékony állományokat.
A letöltött api[.]exe, egy letöltő komponensként működik, amely telepíti az ICE Cloud Client modult, amely egyaránt ellát felderítési és brute-force funkciókat. A végrehajtás során kapcsolatot létesít egy C2 szerverrel, hitelesítést végez, letölti a további komponenseket, melyeket véletlenszerű fájlnevek alatt tárol. A rendszer regisztrációját követően a vezérlőszerver cél IP-címeket, hitelesítési adatokat (gyakran „ecomm/ecomm”), valamint végrehajtási utasításokat („TASK”) küld. A kártevő ezután automatikusan próbál hitelesítést végrehajtani a megadott célpontokon, és visszajelzést adni a sikeres kompromittálásokról.
Az ICE Cloud Client binárisában török nyelvű karakterláncok találhatók, ami a korábbi kampányokkal hasonlóságot mutat. Egyes esetekben a naplóállományokban megjelenő emojik arra utalhatnak, hogy a fejlesztés vagy obfuszkáció során automatizált eszközöket is alkalmaztak.
A megfigyelt aktivitás alapján változás tapasztalható a támadási láncban. A ransomware-ek telepítését egy felderítésre és terjeszkedésre épülő megközelítés váltotta fel. Ez arra utal, hogy a támadók elsődleges célja a hozzáférések bővítése és a potenciális célpontok számának növelése, amelyet későbbi támadási fázisok követhetnek.
Védekezési javaslatok
Az MS SQL rendszereket üzemeltető szervezetek számára a következő intézkedések javasoltak a kitettség csökkentése és a kompromittálás megelőzése érdekében:
- erős, komplex, egyedi jelszavak használata és rendszeres cseréje
- az adatbázisszerverek külső elérésének korlátozása
- hozzáférés-szabályozás tűzfalszabályokkal
- a BCP, a curl és a PowerShell eszközök használatának monitorozása
- naprakész végpontvédelmi megoldások alkalmazása
A megfelelő védelmi intézkedések hiánya ismételt kompromittálódást eredményezhet, mivel a támadók folyamatosan azonosítják és használják ki a sebezhető rendszereket.