新 Helix vishing 团伙浮出水面,针对 SharePoint 实施数据窃取攻击
导语:新型数据勒索团伙 Helix 通过 vishing 与设备代码钓鱼攻陷 SharePoint 环境,其技术指纹指向已停止运营的 ShinyHunters 与 BlackFile。
一个名为 Helix 的新型数据勒索团伙浮出水面,他们使用以身份为中心的攻击手段,包括语音钓鱼(vishing)、设备代码钓鱼以及滥用多因素认证(MFA),从 SharePoint 环境中窃取数据。
初始接触通过 vishing 进行。在某些案例中,威胁行为者在冒充目标员工上司时拨打电话,使用上司的姓名或通过来电显示欺骗使其看起来合法。其目的是诱骗目标进入设备代码钓鱼套路,从而获取其账户访问权限。
一旦进入,Helix 操作人员会迅速注册一个新的多因素认证应用以维持持久化,然后浏览并枚举 SharePoint 中的内容,进而批量外泄文件。
据网络安全公司 ReliaQuest 的研究人员称,被窃取的数据通常被用来向受害组织勒索——威胁公开数据除非支付赎金,或转售给其他网络犯罪分子。SharePoint 数据外泄行为也因此成为 Helix 最显著的技术指纹。

研究人员指出:"自动化枚举和收集过程在多起事件中完全相同,是最可靠的指纹。枚举操作来自 IP 179.43.185[.]230,并使用 python-requests/2.28.1 用户代理。"他们进一步解释道:"操作者发出 contentclass:STS_Site 和通配符(*)SharePoint 搜索请求,以清点所有可访问的内容,然后从同一 IP 和同一用户代理批量下载数据。"
ReliaQuest 认为,基于所使用的技术和基础设施,Helix 源自 ShinyHunters 和 BlackFile 数据勒索团伙,但研究人员并未发现两者之间存在确定性的关联。
在过去一个月中,Medtronic、Nissan、NAIC、Kodak、Infinite Campus 以及诺丁汉大学(Nottingham University)先后确认了此前由 ShinyHunters 所声称的数据泄露事件。
与此同时,曾经以基于身份的攻击和社会工程学手段针对各组织活动的 BlackFile 数据勒索团伙已停止运营,其在四月停止运作之后,相关战术似乎被新出现的 Helix 团伙所延续。
来源信息
来源:BleepingComputer
作者:Bill Toulas

