Kelompok hacker STAC6451 menargetkan server Microsoft SQL di India

Kelompok hacker yang baru teridentifikasi dengan nama STAC6451 telah melancarkan serangan terkoordinasi terhadap server Microsoft SQL (MSSQL), menargetkan berbagai organisasi di India. Serangan ini menggunakan celah pada server MSSQL yang terpapar di internet untuk menyebarkan ransomware dan menjalankan aktivitas berbahaya lainnya.

Menurut laporan terbaru dari Cybersecurity News (11/8), STAC6451 mengeksploitasi port default TCP/IP 1433 yang membolehkan akses langsung ke server MSSQL. Metode serangan kelompok ini meliputi:

1. Akses tidak sah: Penyerang memanfaatkan kredensial lemah melalui brute force untuk memperoleh akses ke server MSSQL yang terpapar.
2. Pengaktifan xp_cmdshell: Setelah berhasil masuk, mereka mengaktifkan prosedur xp_cmdshell yang memungkinkan eksekusi perintah langsung dari instance SQL.
3. Penggunaan Bulk Copy Program (BCP): Penyerang memanfaatkan utilitas BCP untuk memuat dan menyebarkan payload berbahaya, termasuk alat eskalasi hak istimewa, Cobalt Strike Beacons, dan ransomware Mimic.
4. Pembuatan akun backdoor: Dengan menggunakan pustaka Python Impacket, mereka menciptakan akun backdoor seperti “ieadm” dan “helpdesk” untuk pergerakan lateral dan mempertahankan akses.

STAC6451 memfokuskan serangan mereka pada server MSSQL yang secara langsung terhubung ke internet dengan kredensial yang lemah. Setelah mendapatkan akses, penyerang mengaktifkan xp_cmdshell untuk menjalankan perintah dari server SQL, yang seharusnya dinonaktifkan pada server yang terpapar.

Setelah xp_cmdshell diaktifkan, para penyerang menjalankan perintah penemuan untuk mengumpulkan informasi sistem seperti versi, hostname, memori, domain, dan konteks username. Proses ini biasanya dilakukan secara otomatis di berbagai lingkungan korban.

Melalui utilitas BCP, penyerang menyalin payload berbahaya ke dalam basis data MSSQL dan mengekspornya ke direktori yang dapat ditulisi pada server. Mereka kemudian menggunakan alat seperti AnyDesk dan skrip batch untuk melanjutkan eksploitasi dan mempertahankan akses.

STAC6451 juga menciptakan beberapa akun pengguna tambahan dan menambahkannya ke grup administrator lokal serta remote desktop. Untuk kontrol jarak jauh, mereka menyebarkan alat seperti AnyDesk dan mengaktifkan Wdigest untuk menyimpan kredensial dalam format teks jelas. Mereka juga menggunakan alat PrintSpoofer untuk meningkatkan hak istimewa melalui kelemahan dalam layanan spooler Windows.

Menurut Sophos, serangan STAC6451 yang menargetkan organisasi di berbagai sektor di India menunjukkan tingkat kecanggihan yang moderat. Meskipun beberapa insiden ransomware berhasil diblokir, ancaman ini tetap aktif dan terus berkembang.

Para ahli keamanan merekomendasikan agar organisasi:

1. Menghindari paparan server MSSQL ke internet.
2. Menonaktifkan prosedur xp_cmdshell pada SQL.
3. Menggunakan kontrol aplikasi untuk memblokir aplikasi yang tidak diinginkan seperti AnyDesk.
4. Melakukan pembaruan dan patch sistem secara rutin untuk menutup celah keamanan.

Untuk detail lebih lanjut, informasi lengkap mengenai indikator kompromi (IOC) dapat diakses.