Novoidentifikovana hakerska grupa, označena kao STAC6451, aktivno cilja na Microsoft SQL (MSSQL) servere kako bi narušavala organizacije, prvenstveno u Indiji. Ova grupa koristi otkrivene MSSQL servere za postavljanje ransomware-a i drugih zlonamjernih aktivnosti, što predstavlja značajnu prijetnju različitim sektorima.
STAC6451 iskorištava MSSQL servere izložene javnom internetu preko zadanog TCP/IP porta 1433. Taktike, tehnike i procedure grupe (TTP) uključuju:
- Neovlašteni pristup : Grupa dobija početni pristup grubom prisilom slabih kredencijala na izloženim MSSQL serverima.
- Omogućavanje xp_cmdshell : Jednom kada se dobije pristup, napadači omogućavaju pohranjenu proceduru xp_cmdshell, koja im omogućava da izvršavaju proizvoljne komande na serveru.
- Korištenje programa Bulk Copy (BCP) : Napadači koriste BCP uslužni program za postavljanje i implementaciju zlonamjernog korisnog opterećenja, uključujući alate za eskalaciju privilegija, Cobalt Strike Beacons i Mimic ransomware binarne datoteke.
- Kreiranje Backdoor naloga : Python Impacket biblioteka se koristi za kreiranje različitih backdoor naloga (npr. “ieadm”, “helpdesk”, “admins124”, “rufus”) za bočno kretanje i upornost.
STAC6451 Hakeri napadaju Microsoft SQL servere
STAC6451 prvenstveno cilja MSSQL servere koji su direktno izloženi internetu sa slabim krednecijalima. Nakon što dobiju pristup, napadači omogućavaju pohranjenoj proceduri xp_cmdshell da izvrši naredbe iz SQL instance. Ova procedura, podrazumijevano onemogućena, ne bi trebalo da bude omogućena na izloženim serverima zbog bezbjednosnih rizika.
Jednom kada je xp_cmdshell omogućen, napadači izvršavaju različite komande za otkrivanje kako bi prikupili informacije o sistemu, uključujući verziju, ime hosta, dostupnu memoriju, domenu i kontekst korisničkog imena. Ove naredbe su često automatizovane i izvršavaju se ujednačenim redoslijedom u višestrukim okruženjima žrtve.
Napadači koriste BCP uslužni program za kopiranje zlonamjernih korisnih podataka u MSSQL bazu podataka. Zatim izvoze ove korisne podatke u direktorijume na serveru koji se mogu pisati, alate za postavljanje kao što su AnyDesk, paketne skripte i PowerShell skripte. Ovi alati olakšavaju dalju eksploataciju i upornost.
STAC6451 kreira višestruke korisničke naloge u okruženjima žrtve kako bi održao pristup i olakšao bočno kretanje. Ovi nalozi se dodaju u grupe lokalnog administratora i udaljene radne površine. Napadači također postavljaju alate kao što je AnyDesk za daljinsku kontrolu i omogućavaju Wdigest u registru da pohranjuje kredencijale u čistom tekstu.
Grupa koristi malver alat pod nazivom PrintSpoofer za eskalaciju privilegija iskorištavanjem slabosti u Windows spooler servisu. Ovaj alat stupa u interakciju sa uslugom spoolera kako bi dobio povišene privilegije i izvršio zlonamjerne naredbe ili korisne podatke.
Sophos je uočio da STAC6451 cilja na indijske organizacije u više sektora. Iako je implementacija ransomware-a bila blokirana u praćenim incidentima, prijetnja je i dalje aktivna. Aktivnosti grupe ukazuju na umjeren nivo sofisticiranosti, sa automatizovanim fazama u njihovom lancu napada kako bi se olakšale aktivnosti prije ransomware-a.
Preporuke
Organizacije mogu ublažiti rizik koji predstavlja STAC6451:
- Izbjegavanje izlaganja MSSQL servera internetu.
- Onemogućavanje pohranjene procedure xp_cmdshell na SQL instancama.
- Korištenje kontrole aplikacija za blokiranje potencijalno neželjenih aplikacija, kao što su AnyDesk i alat za pretragu Sve.
Izvor: CyberSecurityNews
