Siber güvenlik dünyasında yeni bir tehdit aktörü ortaya çıktı: Helix. Bu grup, özellikle kimlik odaklı taktikler kullanarak SharePoint ortamlarından veri çalmakla biliniyor. Sesli kimlik avı (vishing), cihaz kodu kimlik avı ve çok faktörlü kimlik doğrulama (MFA) istismarı gibi yöntemlerle hedef şirketlere sızıyor. ReliaQuest siber güvenlik firmasının araştırmalarına göre Helix, ShinyHunters ve BlackFile gibi tanınmış veri gaspı gruplarıyla bağlantılı olabilir.
Helix'in saldırı zinciri, hedef şirket çalışanlarına yapılan vishing aramalarıyla başlıyor. Saldırganlar, kendilerini yönetici olarak tanıtarak veya arayan kimliğini taklit ederek kurbanı kandırıyor. Amaç, kurbanı cihaz kodu kimlik avı şemalarına yönlendirerek hesap bilgilerini ele geçirmek. Bu yöntemde, kullanıcıya sahte bir cihaz kodu girilmesi isteniyor ve böylece saldırganlar hesaba erişim sağlıyor.
Hesaba erişim sağlandıktan sonra Helix operatörleri, kalıcılık için hemen yeni bir MFA doğrulayıcı uygulama kaydediyor. Ardından SharePoint ortamını tarayıp dosyaları numaralandırıyor ve verileri dışarı sızdırıyor. ReliaQuest araştırmacıları, Helix'in SharePoint'teki veri sızdırma davranışının en güçlü teknik parmak izi olduğunu belirtiyor. "Numaralandırma ve toplama işlemleri tüm olaylarda aynıydı ve en güvenilir parmak izini oluşturuyor. Numaralandırma 179.43.185[.]230 IP adresinden ve python-requests/2.28.1 kullanıcı aracısı ile yapıldı" diyorlar.
Sistem Güvenliği
ReliaQuest, Helix'in ShinyHunters ve BlackFile gruplarından türediğine inanıyor. BlackFile, Nisan ayında operasyonlarını durdurmuştu ve Helix'in kısa süre sonra ortaya çıkması, bu grubun devamı olabileceğini gösteriyor. Ayrıca Helix saldırılarında kullanılan bir IP adresinin, BlackFile'a ait olduğu bilinen bir IP ile aynı otonom sistemde (AS 51852) barındırıldığı tespit edildi. ShinyHunters ile bağlantı ise benzer sosyal mühendislik taktikleri ve NICENIC kayıt kuruluşunun kullanımına dayanıyor.
Uzmanların Görüşleri
Helix saldırılarına karşı en etkili savunma önlemi, cihaz kodu kimlik doğrulamasının mümkün olduğunca devre dışı bırakılması. ReliaQuest ayrıca SharePoint erişiminin yalnızca yönetilen cihazlarla sınırlandırılmasını ve yeni kaydedilmiş alan adlarıyla yapılan iletişimlerin engellenmesini öneriyor. Bu önlemler, Helix'in saldırı vektörlerini etkisiz hale getirebilir.
Sonuç olarak, Helix grubu, kimlik avı ve MFA istismarı gibi güncel tehditleri kullanarak SharePoint verilerini hedef alıyor. Şirketlerin bu tür saldırılara karşı farkındalığı artırması, çalışanları vishing ve cihaz kodu kimlik avı konusunda eğitmesi ve güvenlik politikalarını güncellemesi kritik önem taşıyor. ReliaQuest'in tespitleri, Helix'in ShinyHunters ve BlackFile ile bağlantılı olduğunu gösteriyor, ancak kesin bir kanıt bulunamadı.
Kaynak: bleepingcomputer.com