Постоянные атаки на MS-SQL серверы с внедрением вредоносного сканера ICE Cloud Client
Постоянные атаки на MS-SQL серверы с внедрением вредоносного сканера ICE Cloud Client
В начале 2024 года специалисты по кибербезопасности из компании Palo Alto Networks зафиксировали активизацию атак на плохо защищённые серверы Microsoft SQL (MS-SQL). В отчёте Unit 42, опубликованном в январе 2024 года, описывается вредоносный инструмент под названием ICE Cloud Client, который злоумышленники используют для автоматизированного сбора информации об инфраструктуре и подготовки к дальнейшему проникновению. Анализ кампании также подтверждён в материалах BleepingComputer и SecurityWeek.
Характеристика атаки и используемые инструменты
По данным отчёта Unit 42, злоумышленники активно сканируют интернет на наличие уязвимых MS-SQL серверов, которые часто имеют слабые настройки аутентификации или устаревшее программное обеспечение. Основным вектором первичного доступа являются перебор паролей (bruteforce) и использование известных уязвимостей, а также ошибки в конфигурации серверов.
После получения доступа злоумышленники устанавливают ICE Cloud Client — вредоносный сканер, который, согласно исследованию, используется для сбора данных об инфраструктуре и выявления дополнительных уязвимостей с целью планирования последующих этапов атаки. В отчёте упоминается, что инструмент оставляет характерные артефакты в системе, включая специфические файлы и сетевую активность, что помогает специалистам по безопасности обнаруживать компрометацию.
Атаки затрагивают организации по всему миру, преимущественно те, кто эксплуатирует MS-SQL серверы с открытым доступом в интернет и недостаточно защищёнными настройками. Среди пострадавших секторов — IT, финансы и производство.
Почему это важно для организаций с внешней поверхностью атаки
MS-SQL серверы часто используются в корпоративных сетях для хранения критически важной информации и обеспечения работы бизнес-приложений. Их уязвимость становится серьёзной проблемой, поскольку:
- Плохо защищённые серверы становятся точкой входа для злоумышленников.
- Успешное проникновение позволяет злоумышленникам собирать данные о сети и планировать дальнейшие атаки.
- Использование специализированных сканеров, таких как ICE Cloud Client, ускоряет процесс разведки и увеличивает риск масштабных компрометаций.
- Постоянное обновление вредоносных инструментов усложняет обнаружение и блокировку атак.
Для организаций, управляющих внешней поверхностью атаки, это означает необходимость постоянного мониторинга и анализа состояния своих MS-SQL серверов, а также своевременного реагирования на инциденты.
Практические рекомендации для команд безопасности
Чтобы минимизировать риски, связанные с подобными атаками, специалисты по информационной безопасности должны принять следующие меры:
- Регулярно обновлять и патчить MS-SQL серверы, чтобы закрывать известные уязвимости и предотвращать несанкционированный доступ.
- Проверять и усиливать настройки аутентификации, включая использование сложных паролей и ограничение доступа к серверу по IP-адресам.
- Внедрять системы мониторинга и обнаружения аномалий, которые помогут быстро выявлять подозрительную активность на MS-SQL серверах.
- Проводить аудит внешней поверхности атаки, чтобы выявлять и устранять открытые порты и сервисы, не предназначенные для публичного доступа.
- Обучать сотрудников и администраторов безопасности, повышая их осведомлённость о современных методах атак и способах защиты.
- Использовать специализированные платформы для управления внешней поверхностью атаки (EASM), которые обеспечивают комплексный обзор и анализ рисков, связанных с публичными ресурсами организации.
В условиях постоянного совершенствования атакующих инструментов, таких как ICE Cloud Client, только комплексный и проактивный подход к безопасности позволит организациям эффективно защищать свои MS-SQL серверы и минимизировать потенциальные убытки от киберинцидентов.
Источники:
- Palo Alto Networks Unit 42 Report, январь 2024
- BleepingComputer, январь 2024
- SecurityWeek, февраль 2024
