STAC6451 olarak adlandırılan yeni tanımlanmış bir hacker grubu, öncelikle Hindistan’da olmak üzere kuruluşları tehlikeye atmak için Microsoft SQL (MSSQL) sunucularını aktif olarak hedef alıyor. Bu grup, çeşitli sektörler için önemli bir tehdit oluşturan fidye yazılımları ve diğer kötü amaçlı faaliyetleri dağıtmak için ifşa olmuş MSSQL sunucularından yararlanıyor.
STAC6451, varsayılan TCP/IP portu 1433 aracılığıyla genel internete açık MSSQL sunucularını istismar eder. Grubun taktikleri, teknikleri ve prosedürleri (TTP’ler) şunları içerir:
- Yetkisiz Erişim:Grup, savunmasız MSSQL sunucularında zayıf kimlik bilgilerini kaba kuvvetle ele geçirerek ilk erişimi elde eder.
- xp_cmdshell’i etkinleştirme: Erişim sağlandıktan sonra saldırganlar, sunucuda keyfi komutları çalıştırmalarına izin veren xp_cmdshell saklı yordamını etkinleştirir.
- Toplu Kopyalama Programını (BCP) KullanmaSaldırganlar, ayrıcalık yükseltme araçları, Cobalt Strike Beacons ve Mimic fidye yazılımı ikili dosyaları da dahil olmak üzere kötü amaçlı yükleri hazırlamak ve dağıtmak için BCP yardımcı programını kullanır.
- Arka Kapı Hesapları Oluşturma: Python Impacket kütüphanesi, yanal hareket ve kalıcılık için çeşitli arka kapı hesapları (örneğin, “ieadm”, “helpdesk”, “admins124”, “rufus”) oluşturmak için kullanılır.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access
STAC6451 Hacker’ları Microsoft SQL Sunucularına Saldırıyor
STAC6451, öncelikle zayıf kimlik bilgileriyle doğrudan internete maruz kalan MSSQL sunucularını hedefler. Saldırganlar erişim sağladıktan sonra, SQL örneğinden komutları yürütmek için xp_cmdshell saklı yordamını etkinleştirir. Varsayılan olarak devre dışı bırakılan bu yordam, güvenlik riskleri nedeniyle açık sunucularda etkinleştirilmemelidir.
xp_cmdshell etkinleştirildiğinde, saldırganlar sürüm, ana bilgisayar adı, kullanılabilir bellek, etki alanı ve kullanıcı adı bağlamı dahil olmak üzere sistem hakkında bilgi toplamak için çeşitli keşif komutları yürütür. Bu komutlar genellikle otomatikleştirilir ve birden fazla kurban ortamında tekdüze bir sırayla yürütülür.
Saldırganlar kötü amaçlı yükleri MSSQL veritabanına kopyalamak için BCP yardımcı programını kullanır. Daha sonra bu yükleri sunucudaki yazılabilir dizinlere, AnyDesk gibi sahneleme araçlarına, toplu komut dosyalarına ve PowerShell komut dosyalarına aktarırlar. Bu araçlar daha fazla istismarı ve kalıcılığı kolaylaştırır.
STAC6451, erişimi sürdürmek ve yanal hareketi kolaylaştırmak için kurban ortamlarında birden fazla kullanıcı hesabı oluşturur. Bu hesaplar yerel yönetici ve uzak masaüstü gruplarına eklenir. Saldırganlar ayrıca uzaktan kontrol için AnyDesk gibi araçlar dağıtır ve kimlik bilgilerini açık metin olarak depolamak için kayıt defterinde Wdigest’i etkinleştirir.
Grup, Windows biriktirici hizmetindeki zayıflıkları istismar ederek ayrıcalıkları yükseltmek için PrintSpoofer adlı bir kötü amaçlı yazılım aracı kullanır. Bu araç, yükseltilmiş ayrıcalıklar elde etmek ve kötü amaçlı komutlar veya yükler yürütmek için biriktirici hizmetiyle etkileşime girer.
Sophos, STAC6451’in birçok sektördeki Hint kuruluşlarını hedef aldığını gözlemledi. Takip edilen olaylarda fidye yazılımı dağıtımı engellenmiş olsa da tehdit aktif kalmaya devam ediyor. Grubun faaliyetleri, fidye yazılımı öncesi faaliyetleri kolaylaştırmak için saldırı zincirlerinde otomatik aşamalarla orta düzeyde karmaşıklık gösteriyor.
Öneriler
Kuruluşlar STAC6451’in oluşturduğu riski şu şekilde azaltabilir:
- MSSQL sunucularının internete açılmasının önlenmesi.
- SQL örneklerinde xp_cmdshell saklı yordamını devre dışı bırakma.
- AnyDesk ve Everything arama aracı gibi potansiyel olarak istenmeyen uygulamaları engellemek için uygulama denetimini kullanma.
- Güvenlik açıklarını kapatmak için sistemlerinizi düzenli olarak güncelleyin ve yamalayın.
Burada IOC’lerin tam listesine ulaşabilirsiniz.
Download Free Cybersecurity Planning Checklist for SME Leaders (PDF) – Free Download