Grup pemerasan data baru bernama Helix menggunakan taktik yang berfokus pada identitas seperti phishing suara (vishing), phishing kode perangkat, dan penyalahgunaan autentikasi multifaktor (MFA) untuk mencuri data dari lingkungan SharePoint.
Kontak awal dilakukan melalui vishing. Dalam beberapa kasus, pelaku ancaman menelepon karyawan sambil menyamar sebagai manajer mereka, menggunakan spoofing nama manajer atau ID penelepon agar terlihat sah.
Tujuannya adalah untuk mengelabui target ke dalam skema phishing kode perangkat untuk mendapatkan akses ke akun mereka.
Begitu masuk, operator Helix dengan cepat mendaftarkan aplikasi autentikator multi-faktor baru untuk persistensi, lalu menelusuri dan menghitung SharePoint sebelum mengeksfiltrasi file.
Menurut peneliti di perusahaan keamanan siber ReliaQuest, data yang dicuri biasanya digunakan untuk memeras organisasi korban dengan mengancam akan mempublikasikannya kecuali uang tebusan dibayarkan, atau dijual kepada penjahat dunia maya lainnya.
Perilaku eksfiltrasi SharePoint adalah sidik jari teknis terkuat Helix.
“Pencacahan dan pengumpulan otomatis identik di seluruh insiden dan mewakili sidik jari yang paling dapat diandalkan. Pencacahan dimulai dari 179.43.185[.]230 menggunakan python-requests/2.28.1 agen-pengguna,” itu catatan peneliti.
“Operator mengeluarkan kelas konten:STS_Site dan karakter pengganti
SharePoint mencari untuk menginventarisasi semua konten yang dapat dijangkau, lalu diunduh secara massal dari IP dan agen pengguna yang sama.”
Tautan ke ShinyHunters dan BlackFile
ReliaQuest meyakini Helix muncul dari kelompok pemerasan data ShinyHunters dan BlackFile berdasarkan teknik dan infrastruktur yang digunakan, meski peneliti tidak menemukan kaitan pastinya. Selama sebulan terakhir,medtronik ,Nissan ,NAIC ,Memotret dgn kodak ,Kampus Tanpa Batas Dan Universitas Nottingham
pelanggaran data yang dikonfirmasi sebelumnya diklaim oleh ShinyHunters. Yang sekarang sudah tidak ada lagi Kelompok pemerasan data BlackFile
organisasi yang ditargetkan menggunakan serangan berbasis identitas dan rekayasa sosial sebelum menghentikan operasinya pada bulan April.
Penelitian ReliaQuest menemukan bahwa satu serangan Helix menggunakan alamat IP eksfiltrasi dalam sistem otonom yang sama (AS 51852) yang menghosting alamat IP BlackFile yang dikonfirmasi, sehingga menyarankan sumber daya bersama. Selain itu, Helix yang muncul segera setelah BlackFile ditutup mungkin mengindikasikan potensi kelanjutan dari operasi yang telah punah. ReliaQuest juga menyebutkan Berwarna merah muda
dan Redact sebagai calon penerus.
Mengenai tautan ke ShinyHunters, Helix mendemonstrasikan pedoman rekayasa sosial yang sangat mirip, termasuk vishing, peniruan identitas karyawan, menargetkan Microsoft 365, dan mencuri data SharePoint.
Petunjuk kedua adalah penggunaan registrar NICENIC, yang juga terlihat di kampanye ShinyHunters sebelumnya.
Sebagai tindakan pertahanan dengan dampak tertinggi terhadap serangan Helix, para peneliti merekomendasikan agar otentikasi kode perangkat dinonaktifkan jika memungkinkan.
gambar artikel
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Dapatkan whitepapernya
