Siber güvenlik dünyasında yeni bir tehdit aktörü ortaya çıktı: Helix. Bu veri gasp grubu, özellikle SharePoint ortamlarını hedef alarak sesli kimlik avı (vishing), cihaz kodu kimlik avı ve çok faktörlü kimlik doğrulama (MFA) istismarı gibi kimlik odaklı taktikler kullanıyor. ReliaQuest araştırmacılarının tespitlerine göre, Helix operatörleri ilk temasta kurbanları arayarak yöneticilerini taklit ediyor ve arayan kimliği sahteciliği (caller ID spoofing) ile güven kazanıyor. Ardından hedefi cihaz kodu kimlik avı düzeneklerine yönlendirerek hesap erişimini ele geçiriyor.
Erişim sağlandıktan sonra Helix operatörleri hızla yeni bir MFA doğrulayıcı uygulaması kaydederek kalıcılık sağlıyor. Ardından SharePoint ortamında gezinip dosyaları numaralandırarak veri sızdırıyor. ReliaQuest raporuna göre, çalınan veriler genellikle kurban kuruluşlara şantaj yapmak için kullanılıyor: ya fidye ödenmezse veriler yayınlanmakla tehdit ediliyor ya da diğer siber suçlulara satılıyor. Helix’in SharePoint dışarı sızma davranışı, en güçlü teknik parmak izi olarak öne çıkıyor.
Araştırmacılar, Helix’in otomatik numaralandırma ve toplama işlemlerinin tüm olaylarda aynı olduğunu belirtiyor. Bu işlemler 179.43.185[.]230 IP adresinden python-requests/2.28.1 kullanıcı aracısı ile gerçekleştiriliyor. Operatör, contentclass:STS_Site ve joker karakter (*) SharePoint aramaları yaparak erişilebilir tüm içerikleri envanterliyor ve ardından aynı IP ve kullanıcı aracısı ile toplu indirme yapıyor. Bu tutarlılık, Helix’in en güvenilir teknik göstergesi olarak kabul ediliyor.
Gelecekte Ne Bekleniyor?
ReliaQuest, Helix’in ShinyHunters ve BlackFile veri gasp gruplarından türediğini düşünüyor. Her ne kadar kesin bir bağlantı bulunamasa da, kullanılan teknikler ve altyapı bu gruplarla örtüşüyor. Geçtiğimiz ay Medtronic, Nissan, NAIC, Kodak, Infinite Campus ve Nottingham Üniversitesi, ShinyHunters tarafından daha önce üstlenilen veri ihlallerini doğruladı. Nisan ayında faaliyetlerini durduran BlackFile grubu da kimlik tabanlı saldırılar ve sosyal mühendislik kullanıyordu. Helix’in bir saldırısında, BlackFile ile aynı otonom sistemde (AS 51852) barındırılan bir IP adresi kullanılması, paylaşılan kaynaklara işaret ediyor.
Helix’in BlackFile’ın kapanmasından kısa süre sonra ortaya çıkması, bu grubun devamı olabileceğini gösteriyor. ReliaQuest ayrıca Pink ve Redact’i olası halefler olarak anıyor. ShinyHunters bağlantısına gelince, Helix’in sosyal mühendislik oyun kitabı neredeyse birebir aynı: vishing, çalışan taklidi, Microsoft 365 hedefleme ve SharePoint veri hırsızlığı. Ayrıca Helix’in NICENIC kayıt kuruluşunu kullanması da ShinyHunters kampanyalarında görülen bir diğer ortak nokta.
Sonuç ve Değerlendirme
Helix saldırılarına karşı en etkili savunma önlemi olarak araştırmacılar, mümkünse cihaz kodu kimlik doğrulamasının devre dışı bırakılmasını öneriyor. Diğer öneriler arasında SharePoint erişimini yalnızca yönetilen cihazlarla sınırlamak ve Helix’in saldırılarında tipik olarak kullandığı yeni kaydedilmiş alan adlarıyla yapılan iletişimleri engellemek yer alıyor. Kuruluşların bu tehdide karşı hazırlıklı olması ve özellikle kimlik avı farkındalık eğitimlerini güçlendirmesi büyük önem taşıyor.
Kaynak: bleepingcomputer.com