Атаки Trigona на MS‑SQL и MySQL: IV квартал 2025

Аналитический центр безопасности AhnLab (ASEC) опубликовал отчёт о статистике вредоносного ПО для серверов баз данных Windows за 4 квартал 2025 года. Специалисты ASEC проанализировали многочисленные инциденты, где в качестве целей фигурировали MS-SQL и MySQL-серверы под управлением Windows. В отчёте выделена резко возросшая активность злоумышленников и подробно описаны методы компрометации и используемое вредоносное ПО.

Ключевые выводы

• Trigona group — одна из наиболее заметных группировок в этом квартале; её атаки продолжились с использованием обновлённого вредоносного ПО и оптимизированных методов.
• Основная цель злоумышленников — публично доступные MS-SQL-сервера, уязвимые к brute‑force и dictionary‑атакам, прежде всего серверы со слабыми учётными данными.
• После успешного взлома атакующие разворачивают оболочку CLR (Common Language Runtime), через которую устанавливают дополнительное вредоносное ПО — признак адаптации тактики и стремления к стойкой эксплуатации.
• Получив доступ, злоумышленники последовательно выполняют команды для сбора подробной информации о системе — это указывает на планомерное исследование окружения перед дальнейшими действиями.
• В отчёте подчёркнута высокая вероятность дальнейших атак при сохранении существующих уязвимостей и необходимости усиления мер защиты для серверов, подключённых к Интернету.

Как действует Trigona: краткая последовательность атак

ASEC фиксирует типичную схему компрометации, используемую Trigona group:

• сканирование публично доступных хостов на предмет открытых портов и сервисов SQL;
• brute‑force / dictionary‑атаки на учётные записи с целью получения доступа;
• установка и запуск оболочки CLR (Common Language Runtime) для загрузки дополнительных модулей вредоносного ПО;
• сбор детальной информации о системе и окружении для подготовки дальнейшей эксплуатации или обеспечения persistence.

«Острая необходимость в усиленных механизмах проверки безопасности и защиты от таких нацеленных атак» — отмечают аналитики ASEC.

Риски и рекомендации

Отчёт ASEC подчёркивает, что публично доступные SQL‑серверы с недостаточной защитой представляют высокий риск компрометации. Эксперты рекомендуют целый ряд мер, которые помогут снизить вероятность успешной атаки и уменьшить последствия взлома:

• жёсткие требования к паролям и запрет на использование стандартных/слабых учётных записей;
• ограничение доступа к SQL‑серверам через firewall и VPN, запрет на прямое подключение из Интернета при отсутствии необходимости;
• внедрение многофакторной аутентификации (MFA) для административных учётных записей;
• сегментация сети и минимизация прав сервисных/пользовательских учётных записей;
• регулярное обновление и патчинг ОС и СУБД;
• отключение или ограничение возможности выполнения CLR‑объектов в MS‑SQL, если это не требуется для легитимных задач;
• введение централизованного мониторинга, детальных логов и регулярных аудитов активности на серверах;
• наладка и проверка процедур резервного копирования и восстановления.

Вывод

Отчёт ASEC за 4 квартал 2025 года демонстрирует целенаправленность атак против баз данных на платформах Windows и подчёркивает, что злоумышленники, такие как Trigona group, активно совершенствуют тактику эксплуатации публично доступных сервисов. Организациям, эксплуатирующим MS-SQL и MySQL-серверы, следует незамедлительно пересмотреть и усилить меры безопасности, чтобы снизить риск компрометации и ограничить возможности злоумышленников для дальнейшей эксплуатации инфрастурктуры.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.