Larva-26002 атакует MS-SQL через BCP и ICE Cloud

Larva-26002 атакует MS-SQL: группа использует BCP и новый Go-based ICE Cloud Client для развития атак

Исследователи кибербезопасности зафиксировали новую волну атак, связанных с группой Larva-26002, которая активно нацеливается на unmanaged MS-SQL servers. Злоумышленники используют уязвимости, связанные с утилитой массового копирования BCP, чтобы закрепляться в инфраструктуре, распространять вредоносные полезные данные и готовить почву для последующих атак.

Как устроена атака

По данным отчета, атаки обычно начинаются с bruteforce или dictionary attacks на публично доступные серверы MS-SQL. После получения доступа злоумышленники применяют утилиту bcp.exe для манипулирования данными и дальнейшего распространения вредоносных компонентов.

Одна из ключевых особенностей этой кампании — использование базы данных как промежуточного хранилища. Вредоносное ПО размещается в определенных таблицах, а затем экспортируется и превращается в локально исполняемые файлы.

• поиск открытых MS-SQL-серверов;
• подбор паролей или использование словарных атак;
• доступ через bcp.exe и работа с таблицами базы данных;
• экспорт вредоносных данных в исполняемые файлы;
• передача результатов и служебной информации на сервер C&C.

Эволюция инструментов Larva-26002

Larva-26002 известна внедрением различных вариантов программ-вымогателей, включая Trigona и Mimic. Со временем группа заметно усложнила свою тактику и набор инструментов.

В 2026 году злоумышленники, как отмечается в отчете, внедрили вредоносное ПО на языке Go под названием ICE Cloud Client. Этот компонент выполняет роль сканера и помогает в дальнейшей вредоносной деятельности.

ICE Cloud критически важен для фреймворка атак: он работает как загрузчик, извлекающий вредоносное ПО из сканера после взаимодействия с сервером командования и контроля C&C.

Что делает ICE Cloud Client

Загруженный ICE Cloud Client использует случайное имя, чтобы имитировать законные приложения и не привлекать внимание. После этого он начинает сканирование целевых MS-SQL-серверов на предмет уязвимостей.

Отдельно в отчете отмечается необычная деталь: в двоичном файле присутствуют строки на турецком языке и смайлики, которые, вероятно, связаны с использованием генеративного искусственного интеллекта. Это может указывать на более высокий уровень развития инструментария злоумышленников.

Цели сканирования и передача данных

Операции сканирования в основном сосредоточены на попытках аутентификации на MS-SQL-серверах с использованием жестко закодированных учетных данных. Результаты таких попыток отправляются обратно на сервер C&C, где, вероятно, используются для дальнейшего развития атаки.

Рекомендации по защите

Для организаций, работающих с базами данных MS-SQL, отчет подчеркивает первостепенную важность мер по снижению рисков. В частности, рекомендуется:

• использовать сложные пароли;
• регулярно менять пароли;
• поддерживать актуальность решений безопасности;
• настраивать firewalls и другие средства защиты;
• особенно внимательно защищать базы данных, подключенные к внешним сетям.

Пренебрежение этими мерами, предупреждают авторы отчета, может привести к постоянным уязвимостям и продолжительной эксплуатации со стороны таких групп, как Larva-26002.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.