Site icon Kiber.ba

STAC6451 Hakeri napadaju Microsoft SQL servere da bi narušili organizacije

STAC6451 Hakeri napadaju Microsoft SQL servere da bi narušili organizacije-Kiber.ba

STAC6451 Hakeri napadaju Microsoft SQL servere da bi narušili organizacije-Kiber.ba

Novoidentifikovana hakerska grupa, označena kao STAC6451, aktivno cilja na Microsoft SQL (MSSQL) servere kako bi narušavala organizacije, prvenstveno u Indiji. Ova grupa koristi otkrivene MSSQL servere za postavljanje ransomware-a i drugih zlonamjernih aktivnosti, što predstavlja značajnu prijetnju različitim sektorima.

STAC6451 iskorištava MSSQL servere izložene javnom internetu preko zadanog TCP/IP porta 1433. Taktike, tehnike i procedure grupe (TTP) uključuju:

STAC6451 Hakeri napadaju Microsoft SQL servere

STAC6451 prvenstveno cilja MSSQL servere koji su direktno izloženi internetu sa slabim krednecijalima. Nakon što dobiju pristup, napadači omogućavaju pohranjenoj proceduri xp_cmdshell da izvrši naredbe iz SQL instance. Ova procedura, podrazumijevano onemogućena, ne bi trebalo da bude omogućena na izloženim serverima zbog bezbjednosnih rizika.

Attack Flow

Jednom kada je xp_cmdshell omogućen, napadači izvršavaju različite komande za otkrivanje kako bi prikupili informacije o sistemu, uključujući verziju, ime hosta, dostupnu memoriju, domenu i kontekst korisničkog imena. Ove naredbe su često automatizovane i izvršavaju se ujednačenim redoslijedom u višestrukim okruženjima žrtve.

Napadači koriste BCP uslužni program za kopiranje zlonamjernih korisnih podataka u MSSQL bazu podataka. Zatim izvoze ove korisne podatke u direktorijume na serveru koji se mogu pisati, alate za postavljanje kao što su AnyDesk, paketne skripte i PowerShell skripte. Ovi alati olakšavaju dalju eksploataciju i upornost.

STAC6451 kreira višestruke korisničke naloge u okruženjima žrtve kako bi održao pristup i olakšao bočno kretanje. Ovi nalozi se dodaju u grupe lokalnog administratora i udaljene radne površine. Napadači također postavljaju alate kao što je AnyDesk za daljinsku kontrolu i omogućavaju Wdigest u registru da pohranjuje kredencijale u čistom tekstu.

Grupa koristi malver alat pod nazivom PrintSpoofer za eskalaciju privilegija iskorištavanjem slabosti u Windows spooler servisu. Ovaj alat stupa u interakciju sa uslugom spoolera kako bi dobio povišene privilegije i izvršio zlonamjerne naredbe ili korisne podatke.

Sophos je uočio da STAC6451 cilja na indijske organizacije u više sektora. Iako je implementacija ransomware-a bila blokirana u praćenim incidentima, prijetnja je i dalje aktivna. Aktivnosti grupe ukazuju na umjeren nivo sofisticiranosti, sa automatizovanim fazama u njihovom lancu napada kako bi se olakšale aktivnosti prije ransomware-a.

Preporuke

Organizacije mogu ublažiti rizik koji predstavlja STAC6451:

Izvor: CyberSecurityNews

Exit mobile version