駭客瞄準MS SQL Server部署ICE Cloud Scanner

研究人員發現的駭客組織被稱為Larva-26002。該組織2024年一月被發現散布Trigona和Mimic勒索軟體、利用MS-SQL伺服器的BCP（Bulk Copy Program）公用程式駭入系統、或安裝AnyDesk、Teramind等遠端存取程式來控制受感染受害系統，並安裝掃描程式。

最新行動發生在今年初，也是利用BCP程式攻擊管理不當、曝露在網際網路的MS-SQL伺服器。使用的字串為土耳其文，過去也出現於該組織攻擊行動。

攻擊者一開始可能是透過暴力破解帳號，將惡意程式寫入MS SQL。一旦寫入後，就能利用BCP這個用於大量資料庫匯出匯入的合法工具，將掃描程式ICE Cloud掃描程式生成並寫入伺服器磁碟。這類離地攻擊（Living Off-the-Land，LoL）方法得以避開傳統下載偵測。

這次使用Go撰寫的掃描工具ICE Cloud，一旦啟動後，會開始與外部C2伺服器進行連線，並掃描內部環境、試圖與MS-SQL完成驗證，將一個MS-SQL伺服器IP位址清單傳送出去。這部份「成果」可能讓外部攻擊者遠端存取MS SQL伺服器，被當成跳板，或進行蠕蟲擴散攻擊。

研究人員指出，防範之道是確保MS-SQL伺服器無法被暴力破解或字典式攻擊。且資料庫伺服器若必須開放外部網路存取，必須使用防火牆防護。此外，資安廠商也建議企業將驗證、防毒措施升級到最新版本。