HackerNews

HackerNews
新 Helix 语音钓鱼团伙现身,发起 SharePoint 数据窃取攻击

新 Helix 语音钓鱼团伙现身,发起 SharePoint 数据窃取攻击

给文章评分:

一个名为 Helix 的新型数据勒索组织正利用身份导向策略,如语音钓鱼(vishing)、设备代码钓鱼和多因素认证(MFA)滥用,从 SharePoint 环境中窃取数据。
初始接触通过 vishing 进行。在某些情况下,威胁行为者冒充目标员工的上司拨打其电话,利用上司姓名或来电显示欺骗来显得合法。
其目的是诱骗目标落入设备代码钓鱼陷阱,从而获取其账户访问权限。
一旦进入系统,Helix 操作员会迅速注册一个新的多因素认证器应用以实现持久化,然后浏览并枚举 SharePoint 内容,最后窃取文件。
根据网络安全公司 ReliaQuest 的研究人员所述,被盗数据通常用于勒索受害组织——威胁要公开数据除非支付赎金,或者将其出售给其他网络犯罪分子。
SharePoint 的数据窃取行为是 Helix 最显著的技术特征。
研究人员指出:"自动枚举和收集行为在不同事件中完全一致,这是最可靠的识别特征。枚举操作来自 179.43.185[.]230,使用 python-requests/2.28.1 用户代理。"
"操作员执行了 contentclass:STS_Site 和通配符 (*) SharePoint 搜索以盘点所有可访问的内容,然后从同一 IP 和用户代理进行批量下载。"
与 ShinyHunters 和 BlackFile 的关联
ReliaQuest 认为,基于所使用的技术和基础设施,Helix 源自 ShinyHunters 和 BlackFile 数据勒索组织,不过研究人员并未找到确凿的关联证据。
过去一个月内,Medtronic、Nissan、NAIC、Kodak、Infinite Campus 和 Nottingham University 已确认此前由 ShinyHunters 声称的数据泄露事件。
现已解散的 BlackFile 数据勒索组织在 4 月停止运营之前,曾利用身份攻击和社会工程学手段针对各类组织。
ReliaQuest 的研究发现,一次 Helix 攻击使用的数据窃取 IP 地址与一个已确认的 BlackFile IP 地址位于同一自治系统(AS 51852)中,这表明存在共享资源。
此外,Helix 在 BlackFile 关闭后不久便出现,可能意味着这一已消亡行动的延续。ReliaQuest 还提到 Pink 和 Redact 是潜在的后续组织。
关于与 ShinyHunters 的关联,Helix 展示出非常相似的社会工程学攻击剧本,包括 vishing、冒充员工、针对 Microsoft 365 以及窃取 SharePoint 数据。
第二个线索是使用了 NICENIC 注册商,该注册商在以往的 ShinyHunters 活动中也曾出现。
作为防御 Helix 攻击的最高优先级措施,研究人员建议在可能的情况下禁用设备代码认证。
其他建议包括将 SharePoint 访问权限限制为仅限受管理设备,并阻止与 Helix 在攻击中通常使用的新注册域名进行通信。


消息来源:bleepingcomputer.com
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
分享到:
hackernews

hackernews

该作者暂无简介