En nyidentifierad cyberkriminell grupp med namnet Helix riktar in sig på Microsoft SharePoint-miljöer. Angriparna använder röstfiske, Device Code Phishing och missbruk av multifaktorautentisering (MFA) för att stjäla känslig företagsdata.
Forskare uppger att gruppen först komprometterar Microsoft 365-konton. Därefter stjäl den filer från SharePoint och använder informationen för att utpressa offren. I vissa fall kan den stulna datan även säljas vidare till andra cyberkriminella.
Helix Använder Vishing För Att Få Åtkomst
Enligt cybersäkerhetsföretaget ReliaQuest inleder Helix sina attacker med röstfiske, även kallat vishing.
Angriparna ringer anställda och utger sig för att vara företagets chefer. De kan använda chefens riktiga namn eller förfalska telefonnumret för att framstå som trovärdiga.
Målet är enkelt. De vill få offret att genomföra en Device Code Phishing-begäran.
Lyckas attacken får angriparna åtkomst till den anställdes Microsoft 365-konto. De behöver inte stjäla användarens lösenord.
SharePoint-data Är Huvudmålet
Efter att ha komprometterat ett konto agerar Helix snabbt.
Angriparna registrerar en ny MFA-autentiseringsapp för att behålla åtkomsten. Därefter genomsöker de SharePoint-miljön efter värdefulla filer.
Sedan laddar de ner stora mängder data.
ReliaQuest beskriver den här SharePoint-aktiviteten som gruppens tydligaste tekniska kännetecken.
Forskarna observerade automatiserade SharePoint-sökningar från IP-adressen 179.43.185[.]230. Aktiviteten använde python-requests/2.28.1 som user agent.
Angriparna sökte efter tillgängliga SharePoint-webbplatser med frågan contentclass:STS_Site. De använde dessutom jokerteckensökningar för att hitta mer innehåll innan de laddade ner filer i stora mängder.
Forskare Ser Kopplingar Till Äldre Grupper
ReliaQuest bedömer att Helix kan ha kopplingar till den numera nedlagda gruppen BlackFile. Gruppen kan även ha band till ShinyHunters. Forskarna betonar dock att de ännu inte har bekräftat någon av kopplingarna.
Flera organisationer har nyligen bekräftat dataintrång som tidigare tagits på sig av ShinyHunters. Bland dem finns Medtronic, Nissan, NAIC, Kodak, Infinite Campus och University of Nottingham.
BlackFile avslutade sin verksamhet i april. Innan dess använde gruppen framför allt identitetsbaserade attacker och social manipulation.
I en av Helix kampanjer använde angriparna en server för dataexfiltrering som låg i samma autonoma system (AS51852) som en bekräftad BlackFile-server. Den överlappningen tyder på att grupperna kan dela infrastruktur.
Forskarna påpekar också att Helix dök upp kort efter att BlackFile försvann. De nämner dessutom Pink och Redact som möjliga efterföljare.
Helix Delar Metoder Med ShinyHunters
ReliaQuest hittade även flera likheter mellan Helix och ShinyHunters.
Båda grupperna använder röstfiske och utger sig för att vara anställda eller chefer. Båda riktar in sig på Microsoft 365-användare. Dessutom fokuserar båda på att stjäla SharePoint-data.
Forskarna upptäckte också att Helix använder domänregistratorn NICENIC. ShinyHunters har använt samma registrator i tidigare kampanjer.
Likheterna är tydliga, men de bevisar inte att grupperna har en direkt koppling.
Så Skyddar Organisationer Sig Mot Helix
ReliaQuest rekommenderar att organisationer inaktiverar Device Code Authentication där det är möjligt. Forskarna beskriver det som det mest effektiva skyddet mot Helix attacker.
Organisationer bör dessutom begränsa åtkomsten till SharePoint så att endast hanterade enheter får ansluta. De bör även blockera kommunikation med nyregistrerade domäner, eftersom Helix ofta använder sådana domäner i sina nätfiskekampanjer.
Säkerhetsteam bör samtidigt övervaka autentiseringsaktivitet i Microsoft 365. Tidig upptäckt kan stoppa angriparna innan de hinner stjäla känslig SharePoint-data.


0 svar till ”Helix Vishinggrupp Riktar In Sig På SharePoint-data i Nya Utpressningskampanjer”