Eine neu identifizierte Cyberkriminellengruppe namens Helix greift gezielt Microsoft-SharePoint-Umgebungen an. Die Angreifer nutzen Voice Phishing, Device Code Phishing und den Missbrauch der Multi-Faktor-Authentifizierung (MFA), um sensible Unternehmensdaten zu stehlen.
Nach Angaben der Forscher kompromittiert die Gruppe zunächst Microsoft-365-Konten. Anschließend stiehlt sie Dateien aus SharePoint und nutzt die Daten, um die Opfer zu erpressen. In einigen Fällen verkaufen die Täter die gestohlenen Informationen auch an andere Cyberkriminelle.
Helix Nutzt Vishing, Um Zugriff Zu Erhalten
Laut dem Cybersicherheitsunternehmen ReliaQuest beginnen die Angriffe von Helix mit Voice Phishing, auch als Vishing bekannt.
Die Angreifer rufen Mitarbeiter an und geben sich als Vorgesetzte aus. Dabei verwenden sie entweder den echten Namen des Managers oder manipulieren die Anruferkennung, um glaubwürdig zu erscheinen.
Das Ziel ist einfach. Die Opfer sollen eine Device Code Phishing-Anfrage abschließen.
Gelingt der Angriff, erhalten die Täter Zugriff auf das Microsoft-365-Konto des Mitarbeiters. Das Passwort des Benutzers müssen sie dabei nicht stehlen.
SharePoint-Daten Sind Das Hauptziel
Nachdem Helix ein Konto kompromittiert hat, handeln die Angreifer schnell.
Sie registrieren zunächst eine neue MFA-Authentifizierungs-App, um den Zugriff dauerhaft zu sichern. Anschließend durchsuchen sie die SharePoint-Umgebung nach wertvollen Dateien.
Danach laden sie große Datenmengen herunter.
ReliaQuest bezeichnet dieses Verhalten in SharePoint als den deutlichsten technischen Fingerabdruck der Gruppe.
Die Forscher beobachteten automatisierte SharePoint-Suchen von der IP-Adresse 179.43.185[.]230. Dabei verwendeten die Angreifer den User-Agent python-requests/2.28.1.
Sie suchten mit der Abfrage contentclass:STS_Site nach erreichbaren SharePoint-Websites. Zusätzlich nutzten sie Wildcard-Suchen, um weitere Inhalte zu finden, bevor sie Dateien in großem Umfang herunterluden.
Forscher Sehen Verbindungen Zu Älteren Gruppen
ReliaQuest geht davon aus, dass Helix Verbindungen zur inzwischen aufgelösten Gruppe BlackFile haben könnte. Außerdem könnte es Überschneidungen mit ShinyHunters geben. Die Forscher betonen jedoch, dass sie bislang keine dieser Verbindungen bestätigen konnten.
Mehrere Organisationen haben kürzlich Datenschutzverletzungen bestätigt, die zuvor von ShinyHunters beansprucht wurden. Dazu gehören Medtronic, Nissan, NAIC, Kodak, Infinite Campus und die University of Nottingham.
BlackFile stellte seine Aktivitäten im April ein. Zuvor setzte die Gruppe vor allem auf identitätsbasierte Angriffe und Social Engineering.
Bei einer Helix-Kampagne nutzten die Angreifer einen Server zur Datenexfiltration, der sich im selben autonomen System (AS51852) befand wie ein bestätigter BlackFile-Server. Diese Überschneidung deutet darauf hin, dass beide Gruppen möglicherweise Infrastruktur gemeinsam nutzen.
Die Forscher weisen außerdem darauf hin, dass Helix kurz nach dem Verschwinden von BlackFile auftauchte. Als weitere mögliche Nachfolger nennen sie Pink und Redact.
Helix Nutzt Ähnliche Methoden Wie ShinyHunters
ReliaQuest entdeckte außerdem mehrere Gemeinsamkeiten zwischen Helix und ShinyHunters.
Beide Gruppen setzen auf Voice Phishing und geben sich als Mitarbeiter oder Führungskräfte aus. Beide greifen Microsoft-365-Nutzer an. Außerdem konzentrieren sich beide auf den Diebstahl von SharePoint-Daten.
Die Forscher stellten außerdem fest, dass Helix den Domain-Registrar NICENIC nutzt. ShinyHunters verwendete denselben Registrar bereits in früheren Kampagnen.
Die Ähnlichkeiten sind auffällig. Sie beweisen jedoch keine direkte Verbindung zwischen den Gruppen.
So Können Unternehmen Sich Vor Helix Schützen
ReliaQuest empfiehlt Unternehmen, Device Code Authentication überall dort zu deaktivieren, wo sie nicht benötigt wird. Die Forscher bezeichnen diese Maßnahme als den wirksamsten Schutz vor Helix-Angriffen.
Unternehmen sollten außerdem den Zugriff auf SharePoint auf verwaltete Geräte beschränken. Zusätzlich sollten sie die Kommunikation mit neu registrierten Domains blockieren, da Helix solche Domains häufig in Phishing-Kampagnen verwendet.
Sicherheitsteams sollten außerdem die Authentifizierungsaktivitäten in Microsoft 365 kontinuierlich überwachen. Eine frühzeitige Erkennung kann Angreifer stoppen, bevor sie sensible SharePoint-Daten stehlen.


0 Kommentare zu „Helix-Vishing-Gruppe Nimmt SharePoint-Daten in Neuen Erpressungskampagnen Ins Visier“