Helix Grubu SharePoint’e Sızdı: Vishing ve MFA Bypass ile Veri Hırsızlığı Yazılım

Helix Grubu SharePoint’e Sızdı: Vishing ve MFA Bypass ile Veri Hırsızlığı

Helix grubu, sesli dolandırıcılık ve MFA bypass ile SharePoint'ten veri çalıyor. ShinyHunters ve BlackFile ile bağlantılı olabilir.

Siber güvenlik dünyasında yeni bir tehdit aktörü ortaya çıktı: Helix. Bu grup, özellikle SharePoint ortamlarını hedef alarak veri hırsızlığı yapıyor. Kullandıkları yöntemler arasında sesli dolandırıcılık (vishing), cihaz kodu kimlik avı (device code phishing) ve çok faktörlü kimlik doğrulama (MFA) istismarı bulunuyor. ReliaQuest araştırmacılarına göre, Helix'in saldırıları kimlik odaklı taktiklerle başlıyor ve hızla veri sızdırmaya yöneliyor.

Saldırının ilk adımı vishing ile atılıyor. Tehdit aktörü, hedefteki kişiyi arayarak kendini yöneticisi olarak tanıtıyor. Bunu yaparken ya gerçek yöneticinin adını kullanıyor ya da arayan kimliğini (caller ID) taklit ediyor. Bu sayede güven kazanan saldırgan, kurbanı cihaz kodu kimlik avı tuzaklarına yönlendirerek hesap bilgilerini ele geçiriyor.

Hesaba erişim sağlandıktan sonra Helix operatörleri hızla yeni bir çok faktörlü kimlik doğrulama uygulaması kaydediyor. Bu, kalıcı erişim sağlamak için kritik bir adım. Ardından SharePoint ortamını tarayıp dosyaları dışarı sızdırıyorlar. ReliaQuest, Helix'in en belirgin teknik parmak izinin SharePoint'teki otomatik tarama ve veri toplama davranışı olduğunu belirtiyor.

Nasıl Önlem Alınmalı?

Araştırmacılar, Helix'in tarama işlemlerini 179.43.185[.]230 IP adresinden ve python-requests/2.28.1 kullanıcı aracısıyla gerçekleştirdiğini tespit etti. Operatör, 'contentclass:STS_Site' ve joker karakter (*) kullanarak SharePoint'teki tüm içeriği listeliyor, ardından aynı IP ve kullanıcı aracısıyla toplu indirme yapıyor. Bu davranış, farklı saldırılarda birebir aynı şekilde tekrarlanıyor.

Gelecekte Ne Bekleniyor?

ReliaQuest, Helix'in ShinyHunters ve BlackFile veri gasp gruplarıyla bağlantılı olabileceğini düşünüyor. Her ne kadar kesin bir bağlantı bulunamasa da, kullanılan teknikler ve altyapı benzerlik gösteriyor. Örneğin, bir Helix saldırısında kullanılan veri sızdırma IP adresi, BlackFile ile ilişkili bir IP ile aynı otonom sistemde (AS 51852) bulunuyor. Ayrıca Helix'in, BlackFile'ın Nisan ayında faaliyetlerini durdurmasının hemen ardından ortaya çıkması dikkat çekici.

Sistem Güvenliği

ShinyHunters ile bağlantıya gelince, her iki grup da benzer sosyal mühendislik taktikleri kullanıyor: vishing, çalışan taklidi, Microsoft 365 hedefleme ve SharePoint veri hırsızlığı. Ayrıca Helix'in NICENIC kayıt şirketini kullanması, ShinyHunters kampanyalarında da görülen bir detay. ReliaQuest, Helix'e karşı en etkili savunma önleminin mümkün olduğunda cihaz kodu kimlik doğrulamasını devre dışı bırakmak olduğunu vurguluyor. Diğer öneriler arasında SharePoint erişimini yalnızca yönetilen cihazlarla sınırlamak ve yeni kaydedilmiş alan adlarıyla yapılan iletişimleri engellemek yer alıyor.

Kaynak: bleepingcomputer.com

Paylaş: