Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Trigona и Mimic: атаки на MS‑SQL через BCP и AnyDesk

3 мин
Злоумышленники из группы Trigona недавно активизировали свои кампании, нацеленные на серверы MS-SQL. В атаках применяется сочетание широко известных и кастомных инструментов, включая методы для сохранения удалённого доступа, массового экспорта данных и последующего разрушительного воздействия на инфраструктуру. В основе тактики Trigona лежит многокомпонентный подход: злоумышленники сначала получают доступ к инфраструктуре, затем расширяют контроль и извлекают данные, а в финале — наносят разрушительные изменения, включая шифрование или удаление файлов. Примечательный аспект — «использование программы массового копирования (BCP)», позволяющей создавать и экспортировать большие наборы данных с MS-SQL серверов, что облегчает злоумышленникам операции с компрометированной инфраструктурой. BCP применяется для массового вывода данных в файлы, которые затем могут быть перемещены с сервера злоумышленниками. Параллельно устанавливается ПО удалённого доступа (AnyDesk) для поддержания постоянного
Оглавление

Злоумышленники из группы Trigona недавно активизировали свои кампании, нацеленные на серверы MS-SQL. В атаках применяется сочетание широко известных и кастомных инструментов, включая методы для сохранения удалённого доступа, массового экспорта данных и последующего разрушительного воздействия на инфраструктуру.

Коротко о главном

  • В инцидентах фигурируют как Trigona, так и Mimic ransomware, при этом связь Trigona и Mimic подтверждается наличием согласованных адресов эл. почты в уведомлениях о выкупе с начала 2023 года.
  • Один из примечательных методов злоумышленников — использование утилиты массового копирования BCP для создания и экспорта файлов данных с заражённых SQL‑серверов.
  • Для удалённого управления системами применяется AnyDesk, устанавливаемый обычно в путь %ALLUSERSPROFILE%, что обеспечивает сохранение доступа к компрометированным машинам.
  • В арсенале атакующих появился пользовательский сканер, написанный на Rust, который собирает сетевую и географическую информацию через ip-api.com и сканирует сервисы RDP и MS-SQL в поисках новых целей.
  • Для повышения привилегий и дальнейшей компрометации применяются различные инструменты, многие из которых доступны на GitHub или распространяются через Defender Control.
  • Отдельные модули вредоносного ПО предназначены для удаления критичных каталогов и исполняемых файлов, что существенно осложняет восстановление после инцидента.

Методология атак

В основе тактики Trigona лежит многокомпонентный подход: злоумышленники сначала получают доступ к инфраструктуре, затем расширяют контроль и извлекают данные, а в финале — наносят разрушительные изменения, включая шифрование или удаление файлов.

Примечательный аспект — «использование программы массового копирования (BCP)», позволяющей создавать и экспортировать большие наборы данных с MS-SQL серверов, что облегчает злоумышленникам операции с компрометированной инфраструктурой.

BCP применяется для массового вывода данных в файлы, которые затем могут быть перемещены с сервера злоумышленниками. Параллельно устанавливается ПО удалённого доступа (AnyDesk) для поддержания постоянного контроля.

Используемые инструменты и техники

  • BCP — массовый экспорт/импорт данных с SQL‑серверов.
  • AnyDesk — средство удалённого управления, обычно размещаемое в %ALLUSERSPROFILE% для устойчивости доступа.
  • Кастомный сканер на Rust — собирает IP/геолокацию через ip-api.com и сканирует RDP и MS-SQL.
  • Инструменты повышения привилегий и расширения доступа — часто заимствуются с GitHub или распространяются через Defender Control.
  • Модули для удаления файлов — удаляют критические каталоги и исполняемые файлы, затрудняя восстановление систем.

Последствия для пострадавших организаций

Комплексность атак повышает риск как утечки и кражи данных (через экспорт с помощью BCP), так и длительной недоступности сервисов из‑за удаления файлов или срабатывания ransomware. Установка AnyDesk и использование инструментов для повышения привилегий облегчают злоумышленникам перемещение по сети и поиск новых уязвимых целей.

Рекомендации по защите

  • Провести аудит и мониторинг активности на серверах MS-SQL, в том числе логов операций импорта/экспорта (BCP).
  • Ограничить и контролировать использование удалённых администраторских инструментов; проверить устанавливаемые папки на наличие %ALLUSERSPROFILE% и подозрительных копий AnyDesk.
  • Блокировать/отслеживать подозрительную сетевую активность, включая обращения к ip-api.com и массовое сканирование портов, характерное для сканеров RDP и MS-SQL.
  • Ограничить исполнение незнакомых бинарников, особенно загружаемых с GitHub или через средства обхода защит типа Defender Control.
  • Поддерживать актуальные резервные копии и отработанные процедуры восстановления, учитывая риск удаления критичных данных.

Наблюдаемая эволюция инструментов Trigona — от использования общедоступных утилит до создания собственных сканеров — свидетельствует о повышении профессионализма атакующих и необходимости упреждающих мер со стороны организаций, использующих MS‑SQL и удалённый доступ в своей инфраструктуре.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Trigona и Mimic: атаки на MS‑SQL через BCP и AnyDesk".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются