En nyidentifisert cyberkriminell gruppe kalt Helix retter seg mot Microsoft SharePoint-miljøer. Angriperne bruker voice phishing, Device Code Phishing og misbruk av flerfaktorautentisering (MFA) for å stjele sensitiv bedriftsdata.

Forskere opplyser at gruppen først kompromitterer Microsoft 365-kontoer. Deretter stjeler den filer fra SharePoint og bruker informasjonen til å presse ofrene for penger. I enkelte tilfeller kan de stjålne dataene også bli solgt videre til andre cyberkriminelle.

Helix Bruker Vishing for Å Få Tilgang

Ifølge cybersikkerhetsselskapet ReliaQuest starter Helix angrepene sine med voice phishing, også kjent som vishing.

Angriperne ringer ansatte og utgir seg for å være ledere i virksomheten. De kan bruke lederens virkelige navn eller forfalske telefonnummeret for å fremstå som troverdige.

Målet er enkelt. De vil få offeret til å gjennomføre en Device Code Phishing-forespørsel.

Lykkes angrepet, får angriperne tilgang til den ansattes Microsoft 365-konto. De trenger ikke å stjele brukerens passord.

SharePoint-data Er Hovedmålet

Etter at de har kompromittert en konto, handler Helix raskt.

Angriperne registrerer en ny MFA-autentiseringsapp for å opprettholde tilgangen. Deretter søker de gjennom SharePoint-miljøet etter verdifulle filer.

Til slutt laster de ned store mengder data.

ReliaQuest beskriver denne SharePoint-aktiviteten som gruppens tydeligste tekniske kjennetegn.

Forskerne observerte automatiserte SharePoint-søk fra IP-adressen 179.43.185[.]230. Aktiviteten brukte python-requests/2.28.1 som user agent.

Angriperne søkte etter tilgjengelige SharePoint-nettsteder ved hjelp av spørringen contentclass:STS_Site. De brukte også jokertegnsøk for å finne mer innhold før de lastet ned filer i store mengder.

Forskere Ser Koblinger Til Eldre Grupper

ReliaQuest mener at Helix kan ha forbindelser til den nå nedlagte gruppen BlackFile. Gruppen kan også ha bånd til ShinyHunters. Forskerne understreker imidlertid at de ennå ikke har bekreftet noen av forbindelsene.

Flere organisasjoner har nylig bekreftet datainnbrudd som tidligere ble tatt på seg av ShinyHunters. Blant dem er Medtronic, Nissan, NAIC, Kodak, Infinite Campus og University of Nottingham.

BlackFile avsluttet virksomheten sin i april. Før det baserte gruppen seg hovedsakelig på identitetsbaserte angrep og sosial manipulering.

I én av Helix-kampanjene brukte angriperne en server for dataeksfiltrering som lå i samme autonome system (AS51852) som en bekreftet BlackFile-server. Den overlappingen tyder på at gruppene kan dele infrastruktur.

Forskerne peker også på at Helix dukket opp kort tid etter at BlackFile forsvant. De nevner dessuten Pink og Redact som mulige etterfølgere.

Helix Bruker Samme Metoder Som ShinyHunters

ReliaQuest fant også flere likheter mellom Helix og ShinyHunters.

Begge gruppene bruker voice phishing og utgir seg for å være ansatte eller ledere. Begge retter seg mot Microsoft 365-brukere. I tillegg fokuserer begge på å stjele SharePoint-data.

Forskerne oppdaget også at Helix bruker domeneregistratoren NICENIC. ShinyHunters har benyttet den samme registratoren i tidligere kampanjer.

Likhetene er tydelige, men de beviser ikke at gruppene har en direkte forbindelse.

Slik Kan Organisasjoner Beskytte Seg Mot Helix

ReliaQuest anbefaler at organisasjoner deaktiverer Device Code Authentication der det er mulig. Forskerne beskriver dette som det mest effektive tiltaket mot Helix-angrep.

Organisasjoner bør også begrense tilgangen til SharePoint slik at bare administrerte enheter får koble seg til. I tillegg bør de blokkere kommunikasjon med nyregistrerte domener, siden Helix ofte bruker slike domener i phishing-kampanjer.

Sikkerhetsteam bør samtidig overvåke autentiseringsaktivitet i Microsoft 365. Tidlig oppdagelse kan stoppe angriperne før de rekker å stjele sensitiv SharePoint-data.


0 responses to “Helix Vishinggruppe Retter Seg Mot SharePoint-data i Nye Utpressingskampanjer”