كشف تقرير حديث عن استمرار جهود جهات فاعلة في مجال التهديدات السيبرانية، وتحديداً جهة تُعرف بـ Larva-26002، في استهداف خوادم Microsoft SQL (MS-SQL) التي تعاني من ضعف في الإدارة. وشملت أحدث الهجمات نشر برمجية خبيثة جديدة من نوع الماسح الضوئي تُعرف باسم ICE Cloud Client.
تأتي هذه الحملة المحدثة لتؤكد استراتيجية مستمرة منذ يناير 2024، حيث يقوم المهاجمون بتطوير أدواتهم بشكل متواصل. في البداية، ركزت الجهات الفاعلة على نشر برامج الفدية، ولكنها تحولت الآن نحو مسح البنية التحتية لقواعد البيانات بشكل واسع بحثًا عن نقاط ضعف.
استهداف خوادم MS-SQL وتطور البرمجيات الخبيثة
منذ بداية عام 2024، بدأت الجهة الفاعلة بنشر برامج الفدية مثل Trigona وMimic على خوادم MS-SQL المكشوفة على الإنترنت والتي تفتقر إلى قوة كلمات المرور. استغل المهاجمون أداة BCP (Bulk Copy Program) لتثبيت برمجيات خبيثة مباشرة على الأنظمة المخترقة.
بالإضافة إلى ذلك، قاموا بتثبيت أدوات مثل AnyDesk للوصول عن بعد، بالإضافة إلى أدوات تحويل المنافذ لاتصالات RDP. بحلول عام 2025، توسع نطاق الأدوات ليشمل Teramind، وهو نظام مراقبة وإدارة عن بعد (RMM)، مع التحول إلى استخدام ماسح ضوئي جديد مكتوب بلغة Rust.
في موجة جديدة من الهجمات التي تم رصدها في عام 2026، عاد نفس المهاجم لاستهداف خوادم MS-SQL التي تعرضت لهجمات سابقة. هذه المرة، تم نشر ICE Cloud، وهو ماسح ضوئي مكتوب بلغة Go، مما يمثل تغييراً عن الماسح القائم على Rust الذي استخدم في العام السابق.
تشير الأدلة الداخلية للبرنامج، والتي كتبت باللغة التركية، إلى وجود صلة مباشرة بين هذه الحملة وهجمات برامج الفدية Mimic التي حدثت في عام 2024. هذا النمط من الاستهداف المتكرر يعكس استراتيجية مدروسة وطويلة الأمد ضد خوادم قواعد البيانات غير المحدثة.
التحول من برامج الفدية إلى عمليات المسح
ما يجعل هذه الحملة مقلقة بشكل خاص هو تحول تركيز المهاجمين من برامج الفدية إلى عمليات المسح. يبدو أن المهاجم يقوم بإنشاء مجموعة متزايدة من الخوادم المخترقة التي تقوم بفحص قواعد بيانات أخرى باستمرار بحثًا عن بيانات اعتماد ضعيفة، وهو ما يمهد الطريق لهجمات أكبر.
يتم إرسال البيانات التي يتم جمعها إلى خادم القيادة والتحكم (C&C) الخاص بالجهة الفاعلة، مما يمنحها رؤية تفصيلية للأصول المتاحة لقواعد البيانات المنتشرة عبر الإنترنت.
آلية الإصابة بـ ICE Cloud Scanner
تبدأ العملية بتحديد خادم MS-SQL مكشوف على الإنترنت ويحتوي على كلمات مرور ضعيفة. بعد الحصول على الوصول عبر هجمات القوة الغاشمة أو هجمات القاموس، يقوم المهاجم بتشغيل أوامر النظام لتحديد خصائص المضيف.
يتم بعد ذلك إنشاء البرمجية الخبيثة باستخدام أداة BCP، التي تستخرج ملفًا ثنائيًا خبيثًا من جدول قاعدة البيانات إلى مسار محلي، مدعومًا بملف تهيئة. هذا الإعداد لم يتغير منذ عام 2024.
في الأنظمة التي تفشل فيها أداة BCP، يتم جلب البرمجية الخبيثة باستخدام أدوات مثل Curl أو Bitsadmin عبر PowerShell. يقوم ملف “api.exe”، الذي يُطلق عليه ICE Cloud Launcher، بالاتصال بخادم C&C للمصادقة قبل تنزيل الماسح الضوئي الأساسي، ICE Cloud Client.
بمجرد تنزيله، يتم حفظ ICE Cloud Client تحت اسم ملف عشوائي لإخفائه عن كونه برنامجًا شرعيًا. ثم يقوم البرنامج الخبيث بالتسجيل في خادم C&C، الذي يرسل له قائمة بعناوين MS-SQL المستهدفة، بالإضافة إلى زوج من بيانات الاعتماد وسلسلة مهام.
يحاول الماسح الضوئي تسجيل الدخول باستخدام هذه الاعتمادات، ويبلغ عن أي وصول ناجح إلى الخادم. تشير السلاسل النصية الداخلية المكتوبة باللغة التركية، والتي تتضمن رموز تعبيرية، إلى احتمال اعتماد المطور على الذكاء الاصطناعي التوليدي في كتابة أجزاء من الكود.
يجب على مسؤولي قواعد البيانات تعيين كلمات مرور قوية وصعبة التخمين لجميع حسابات MS-SQL وتحديثها بانتظام لمنع الوصول غير المصرح به. ينبغي تأمين أي خادم MS-SQL موجه نحو الإنترنت خلف جدار حماية يسمح فقط بالاتصالات المصرح بها.
من المهم أيضًا إبقاء برامج أمان نقاط النهاية محدثة للكشف عن البرامج الخبيثة المعروفة قبل تنفيذها. يجب على المسؤولين مراقبة أي نشاط غير عادي لأداة BCP، أو وجود ملفات غير متوقعة، أو اتصالات صادرة غير معروفة، ومعاملة أي علامة من هذا القبيل كاشتباه في اختراق يتطلب تحقيقًا فوريًا.