Kelompok hacker STAC6451 menargetkan server Microsoft SQL di India
STAC6451 memfokuskan serangan mereka pada server MSSQL yang secara langsung terhubung ke internet dengan kredensial yang lemah.
Kelompok hacker yang baru teridentifikasi dengan nama STAC6451 telah melancarkan serangan terkoordinasi terhadap server Microsoft SQL (MSSQL), menargetkan berbagai organisasi di India. Serangan ini menggunakan celah pada server MSSQL yang terpapar di internet untuk menyebarkan ransomware dan menjalankan aktivitas berbahaya lainnya.
Menurut laporan terbaru dari Cybersecurity News (11/8), STAC6451 mengeksploitasi port default TCP/IP 1433 yang membolehkan akses langsung ke server MSSQL. Metode serangan kelompok ini meliputi:
- Akses tidak sah: Penyerang memanfaatkan kredensial lemah melalui brute force untuk memperoleh akses ke server MSSQL yang terpapar.
- Pengaktifan xp_cmdshell: Setelah berhasil masuk, mereka mengaktifkan prosedur xp_cmdshell yang memungkinkan eksekusi perintah langsung dari instance SQL.
- Penggunaan Bulk Copy Program (BCP): Penyerang memanfaatkan utilitas BCP untuk memuat dan menyebarkan payload berbahaya, termasuk alat eskalasi hak istimewa, Cobalt Strike Beacons, dan ransomware Mimic.
- Pembuatan akun backdoor: Dengan menggunakan pustaka Python Impacket, mereka menciptakan akun backdoor seperti “ieadm” dan “helpdesk” untuk pergerakan lateral dan mempertahankan akses.
STAC6451 memfokuskan serangan mereka pada server MSSQL yang secara langsung terhubung ke internet dengan kredensial yang lemah. Setelah mendapatkan akses, penyerang mengaktifkan xp_cmdshell untuk menjalankan perintah dari server SQL, yang seharusnya dinonaktifkan pada server yang terpapar.
Setelah xp_cmdshell diaktifkan, para penyerang menjalankan perintah penemuan untuk mengumpulkan informasi sistem seperti versi, hostname, memori, domain, dan konteks username. Proses ini biasanya dilakukan secara otomatis di berbagai lingkungan korban.
Melalui utilitas BCP, penyerang menyalin payload berbahaya ke dalam basis data MSSQL dan mengekspornya ke direktori yang dapat ditulisi pada server. Mereka kemudian menggunakan alat seperti AnyDesk dan skrip batch untuk melanjutkan eksploitasi dan mempertahankan akses.