概要
2026年、脅威アクターはMicrosoft SQL (MS-SQL) サーバーを標的にし、新たなスキャナーマルウェアであるICE Cloud Clientの展開が確認されています。この活動は、Larva-26002と呼ばれる脅威グループに関連しており、同グループは過去にTrigonaおよびMimicランサムウェアを配布していました。
攻撃手法
Larva-26002は、インターネットに公開された脆弱なMS-SQLサーバーを主な標的としています。これらのシステムは通常、弱い資格情報を利用してブロートフォースや辞書攻撃により侵入されます。
ICE Cloud Clientの展開
攻撃者は、取得したアクセス権限を使用して、ホスト名、ユーザー状況、ネットワーク構成、アクティブな接続、実行中のプロセスなどの情報を調査します。その後、マルウェアを配布するためにICE Cloud Clientが展開されます。
BCPユーティリティの悪用
攻撃者はBulk Copy Program (BCP) ユーティリティを使用して、データベーステーブル内に保存された悪意のあるペイロードを抽出し、実行可能なファイルとしてシステム上に展開します。
ICE Cloud Clientの機能
ICE Cloud ClientはGo言語で書かれており、スキャナーやブロートフォースツールとして機能します。このマルウェアは「ICE Cloud Launcher」として実行され、コマンド&コントロール (C&C) サーバーと通信し、指示を受けてターゲットのMS-SQLサーバーをスキャンします。
対策
組織は以下の措置を講じることで攻撃から保護することができます:
- 強力なパスワードを使用し、定期的に更新する
- 外部アクセスを制限または禁止する
- ファイアウォールルールを設定して信頼できるIP範囲のみにアクセスを許可する
- Bulk Copy Program (BCP)、curl、PowerShellなどのツールの不審な使用を監視する
- エンドポイントセキュリティソリューションを最新の状態に保つ