Угроза Larva-26002 эволюционирует: атаки на MS-SQL-серверы продолжаются с новым сканером на Go

Группа злоумышленников под условным обозначением Larva-26002, известная своими атаками на корпоративный сектор, не прекращает активность и в 2026 году. Целью по-прежнему становятся недостаточно защищённые серверы баз данных Microsoft SQL, что представляет серьёзную угрозу для компаний, чья инфраструктура зависит от этих систем. Вместо немедленного развёртывания программ-вымогателей, как это было ранее, группа фокусируется на скрытом захвате контроля и разведке, используя новый инструмент сканирования, написанный на языке Go. Этот тренд указывает на долгосрочную стратегию, где финальная атака может быть отложена до полного изучения среды жертвы.

Описание

История активности Larva-26002 отслеживается экспертами по безопасности с 2024 года. Тогда атаки на уязвимые MS-SQL-серверы приводили к установке вредоносного ПО классов Trigona и Mimic. Характерной чертой было использование встроенной служебной программы Bulk Copy Program (BCP, утилита для массового копирования данных) для создания исполняемых файлов прямо на атакованной системе. Это позволяло обойти некоторые средства защиты, так как процесс bcp.exe является легитимным компонентом SQL Server. После получения доступа злоумышленники также устанавливали инструменты удалённого администрирования, такие как AnyDesk, и пробрасывали порты для организации RDP-подключений, закрепляясь в инфраструктуре.

В 2025 году тактика группы развилась: к инструментарию добавился RMM-инструмент Teramind и сканер, написанный на Rust. Это демонстрировало стремление к разнообразию инструментов и усложнению детектирования. Новый виток атак в 2026 году, о котором сообщают специалисты AhnLab SEcurity intelligence Center (ASEC), подтверждает эту тенденцию. Атакующие вновь нацеливаются на плохо управляемые серверы MS-SQL, эксплуатируют утилиту BCP по уже отработанной схеме, но финальным этапом устанавливают новый сканер под названием ICE Cloud Client. Этот сканер, в отличие от предыдущих версий, написан на языке Go, что может быть связано с его кроссплатформенностью и сложностью анализа для средств защиты, традиционно лучше настроенных на угрозы для Windows.

Технические детали атаки остаются консервативными, что говорит об эффективности выбранного вектора. Злоумышленники ищут серверы, вынесенные в публичный интернет и защищённые слабыми или стандартными учётными данными, которые можно подобрать методом грубой силы или словарной атаки. После успешного входа выполняется ряд стандартных команд для сбора информации о системе (hostname, whoami, netstat, tasklist). Затем, используя команду BCP, вредоносный код, предварительно помещённый в таблицу базы данных, экспортируется в виде исполняемого файла на диск. В некоторых случаях, если использование BCP невозможно, сканер загружается с помощью Curl, Bitsadmin или PowerShell прямо с контролируемого злоумышленниками сервера.

Созданный файл, часто маскирующийся под api.exe, является загрузчиком для основного инструмента - ICE Cloud Launcher. После запуска этот клиент аутентифицируется на командном сервере (C&C) и загружает финальный модуль сканирования - ICE Cloud Client. Интересной деталью является присутствие в коде строк на турецком языке, а также эмодзи, что, по мнению аналитиков, может указывать на использование автором генеративного ИИ для написания или комментирования кода. Сканер получает от C&C-сервера список целевых IP-адресов и учётные данные для аутентификации, после чего методично проверяет доступность серверов MS-SQL, отправляя результаты обратно. Таким образом, злоумышленники строят карту потенциально уязвимых целей для последующих атак, которые могут включать кражу данных, установку программ-вымогателей или использование ресурсов для других целей.

Для специалистов по информационной безопасности данный инцидент служит очередным напоминанием о критической важности базовых мер защиты. Публичный доступ к административным интерфейсам баз данных, особенно с использованием простых паролей, является грубейшим нарушением. Для митигации подобных угроз необходимо обеспечить строгое управление доступом через брандмауэры, разрешая подключения к портам MS-SQL только с доверенных сетей. Обязательным является использование сложных уникальных паролей для учётных записей, их регулярная ротация и применение многофакторной аутентизации там, где это возможно. Мониторинг сетевой активности на предмет нестандартных исходящих подключений, а также анализ логов на предмет множественных неудачных попыток входа в систему могут помочь в раннем обнаружении атаки. Регулярное обновление антивирусного ПО и использование решений класса EDR для обнаружения подозрительной активности, такой как создание исполняемых файлов через BCP, также являются ключевыми элементами защиты. Игнорирование этих мер создаёт прямую угрозу для всей корпоративной инфраструктуры, превращая её в лёгкую добычу для методичных и хорошо оснащённых групп угроз.