背景图片取自Tim Hüfner on Unsplash

韩国安全公司AhnLab发现，微软SQL Server在今年初遭到黑客组织锁定，并利用合法工具在系统内植入扫描工具ICE Cloud Client。

研究人员发现的黑客组织被称为Larva-26002。该组织在2024年1月被发现传播Trigona和Mimic勒索软件，利用MS-SQL服务器的BCP（批量复制程序）工具入侵系统，或安装AnyDesk、Teramind等远程访问程序以控制受感染设备，并部署扫描程序。

今年初的最新攻击行动同样利用BCP工具，针对管理不当、暴露在互联网上的MS-SQL服务器发起攻击。攻击中使用的字符串为土耳其文，此前曾出现在该组织的其他攻击活动中。

攻击者最初可能通过暴力破解账户，将恶意程序写入MS SQL数据库。一旦成功写入，即可利用BCP这一用于大量数据导入导出的合法工具，生成并写入ICE Cloud扫描程序至服务器磁盘。这种“无文件攻击”（Living Off the Land，LoL）手法可有效规避传统下载检测机制。

此次使用的扫描工具ICE Cloud由Go语言编写，启动后会与外部C2服务器建立连接，扫描内部网络环境，尝试与MS-SQL服务完成身份验证，并将一组MS-SQL服务器IP地址列表发送回攻击者。这些信息可能被用于远程访问MS SQL服务器，作为跳板进行横向移动或蠕虫式扩散攻击。

研究人员指出，防范措施包括确保MS-SQL服务器不会被暴力破解或字典攻击成功；若数据库服务器必须对外开放访问，必须部署防火墙进行防护。此外，安全厂商建议企业及时升级身份验证机制和防病毒软件至最新版本。