СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
26.10.2025
#Dev#ИБ#Инфра

Trigona и Mimic: атаки на MS‑SQL через BCP и AnyDesk

Trigona и Mimic: атаки на MSSQL через BCP и AnyDesk

Злоумышленники из группы Trigona недавно активизировали свои кампании, нацеленные на серверы MS-SQL. В атаках применяется сочетание широко известных и кастомных инструментов, включая методы для сохранения удалённого доступа, массового экспорта данных и последующего разрушительного воздействия на инфраструктуру.

Коротко о главном

  • В инцидентах фигурируют как Trigona, так и Mimic ransomware, при этом связь Trigona и Mimic подтверждается наличием согласованных адресов эл. почты в уведомлениях о выкупе с начала 2023 года.
  • Один из примечательных методов злоумышленников — использование утилиты массового копирования BCP для создания и экспорта файлов данных с заражённых SQL‑серверов.
  • Для удалённого управления системами применяется AnyDesk, устанавливаемый обычно в путь %ALLUSERSPROFILE%, что обеспечивает сохранение доступа к компрометированным машинам.
  • В арсенале атакующих появился пользовательский сканер, написанный на Rust, который собирает сетевую и географическую информацию через ip-api.com и сканирует сервисы RDP и MS-SQL в поисках новых целей.
  • Для повышения привилегий и дальнейшей компрометации применяются различные инструменты, многие из которых доступны на GitHub или распространяются через Defender Control.
  • Отдельные модули вредоносного ПО предназначены для удаления критичных каталогов и исполняемых файлов, что существенно осложняет восстановление после инцидента.

Методология атак

В основе тактики Trigona лежит многокомпонентный подход: злоумышленники сначала получают доступ к инфраструктуре, затем расширяют контроль и извлекают данные, а в финале — наносят разрушительные изменения, включая шифрование или удаление файлов.

Примечательный аспект — «использование программы массового копирования (BCP)», позволяющей создавать и экспортировать большие наборы данных с MS-SQL серверов, что облегчает злоумышленникам операции с компрометированной инфраструктурой.

BCP применяется для массового вывода данных в файлы, которые затем могут быть перемещены с сервера злоумышленниками. Параллельно устанавливается ПО удалённого доступа (AnyDesk) для поддержания постоянного контроля.

Используемые инструменты и техники

  • BCP — массовый экспорт/импорт данных с SQL‑серверов.
  • AnyDesk — средство удалённого управления, обычно размещаемое в %ALLUSERSPROFILE% для устойчивости доступа.
  • Кастомный сканер на Rust — собирает IP/геолокацию через ip-api.com и сканирует RDP и MS-SQL.
  • Инструменты повышения привилегий и расширения доступа — часто заимствуются с GitHub или распространяются через Defender Control.
  • Модули для удаления файлов — удаляют критические каталоги и исполняемые файлы, затрудняя восстановление систем.

Последствия для пострадавших организаций

Комплексность атак повышает риск как утечки и кражи данных (через экспорт с помощью BCP), так и длительной недоступности сервисов из‑за удаления файлов или срабатывания ransomware. Установка AnyDesk и использование инструментов для повышения привилегий облегчают злоумышленникам перемещение по сети и поиск новых уязвимых целей.

Рекомендации по защите

  • Провести аудит и мониторинг активности на серверах MS-SQL, в том числе логов операций импорта/экспорта (BCP).
  • Ограничить и контролировать использование удалённых администраторских инструментов; проверить устанавливаемые папки на наличие %ALLUSERSPROFILE% и подозрительных копий AnyDesk.
  • Блокировать/отслеживать подозрительную сетевую активность, включая обращения к ip-api.com и массовое сканирование портов, характерное для сканеров RDP и MS-SQL.
  • Ограничить исполнение незнакомых бинарников, особенно загружаемых с GitHub или через средства обхода защит типа Defender Control.
  • Поддерживать актуальные резервные копии и отработанные процедуры восстановления, учитывая риск удаления критичных данных.

Наблюдаемая эволюция инструментов Trigona — от использования общедоступных утилит до создания собственных сканеров — свидетельствует о повышении профессионализма атакующих и необходимости упреждающих мер со стороны организаций, использующих MS‑SQL и удалённый доступ в своей инфраструктуре.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: