文章总结： 文档详述了威胁组织Larva-26002在2026年针对MS-SQL服务器部署ICECloudClient恶意软件的攻击活动。攻击者利用弱口令入侵，滥用BCP工具投放载荷，该Go语言恶意软件兼具扫描与爆破功能，疑似利用AI开发。策略已从勒索转向扩大访问权限。建议企业强化凭据管理、限制外部访问、监控可疑工具并更新防护。 综合评分： 85 文章分类： 威胁情报,恶意软件,漏洞预警,安全建设

威胁行为者以 MS-SQL 服务器为目标，部署 ICE 云扫描器恶意软件

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年3月24日 19:11 北京

2026 年，威胁行为者继续积极攻击 Microsoft SQL (MS-SQL) 服务器，新的证据表明，他们部署了一种名为 ICE Cloud Client 的扫描恶意软件。

Larva-26002 一直专注于保护暴露在互联网上的安全性较差的 MS-SQL 服务器。

这些系统通常通过使用弱凭据的暴力破解或字典攻击而被攻破。

一旦获得访问权限，攻击者就会执行一系列侦察命令，例如检查主机名、用户上下文、网络配置、活动连接和正在运行的进程，以了解受感染的环境。

根据 AhnLab 安全情报中心 (ASEC) 的说法，该活动与Larva-26002 威胁组织有关，该组织此前曾在早期的攻击活动中传播过 Trigona 和 Mimic 勒索软件。

这并非首次发起此类攻击。2024年，同一犯罪团伙就曾利用MS-SQL服务器部署Trigona和Mimic勒索软件，并使用AnyDesk等工具实现持久化和远程访问。

到 2025 年，攻击者改进了策略，引入了 Teramind 等远程监控工具，并部署了用 Rust 编写的自定义扫描器。2026 年的攻击活动标志着又一次转变，攻击者用名为 ICE Cloud 的基于 Go 语言的恶意软件取代了之前的工具。

滥用 BCP 实用程序进行恶意软件攻击

在所有攻击活动中都观察到的一个关键技术是滥用批量复制程序 (BCP) 工具，该工具是MS-SQL 中用于数据导入和导出的合法工具。攻击者将恶意载荷存储在数据库表中，然后将其提取为可执行文件并部署到系统中。

在最近的攻击中，恶意软件使用预定义格式的文件，从名为“uGnzBdZbsi”的表中导出到类似“C:\ProgramData\api.exe”的文件中。这些标识符自2024年以来一直保持不变，表明攻击手段仍在持续。

在某些 BCP 不可行的情况下，攻击者会转而使用 curl、bitsadmin 或 PowerShell 等工具从远程服务器检索有效载荷，从而采用其他下载方法。

被投放的有效载荷通常名为 api.exe，它会下载并安装 ICE Cloud Client。该恶意软件使用 Go 语言编写，兼具扫描器和暴力破解工具的功能。在执行过程中，它会以“ICE Cloud Launcher”的标签运行。

恶意软件执行后，会与命令与控制 (C2) 服务器通信以进行身份验证并接收指令。然后，它会下载 ICE 云客户端主组件，并将其伪装成随机文件名，以模仿合法应用程序。

ICE 云客户端负责扫描目标 MS-SQL 服务器。值得注意的是，其二进制文件包含土耳其语字符串，这一特征此前曾与 Mimic 勒索软件攻击活动相关联。

执行日志中出现表情符号表明可能在开发或混淆过程中使用了生成式人工智能。

在向 C2 服务器注册后，恶意软件会收到目标 IP 地址列表以及凭据（通常为“ecomm/ecomm”）和标记为“TASK”的指令。

然后，它会尝试对这些目标进行身份验证，并将成功的入侵报告给服务器。

缓解措施

基础设施、技术和标识符的持续再利用表明 Larva-26002 正在不断发展，而不是重新发明其运作方式。

扫描目标协议为“mssql”，ID/PW为“ecomm/ecomm”，并附带字符串“TASK”。在通过C&C服务器身份验证后，扫描器会继续进行注册过程，服务器会根据注册过程发送一份攻击前MS-SQL服务器地址列表。

从勒索软件部署到基于扫描器的传播的转变表明，攻击者采取了一种更广泛的策略，旨在扩大对易受攻击系统的访问权限，然后再执行进一步的攻击。

运行 MS-SQL 服务器的组织应立即采取措施降低风险并防止信息泄露：

• 使用强密码和复杂密码，并强制定期轮换凭据。
• 尽可能禁用或限制对数据库服务器的外部访问。
• 实施防火墙规则，将访问限制在受信任的 IP 地址范围内。
• 监控 BCP、curl 和 PowerShell 等工具的可疑使用情况。
• 保持终端安全解决方案更新，以便检测和阻止恶意软件。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《威胁行为者以 MS-SQL 服务器为目标，部署 ICE 云扫描器恶意软件》