
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Helix to nowo zidentyfikowana grupa cyberprzestępcza koncentrująca się na atakach wymierzonych w środowiska Microsoft 365, ze szczególnym naciskiem na SharePoint. Jej operacje łączą vishing, czyli telefoniczne techniki socjotechniczne, z przejęciem tożsamości oraz nadużyciami mechanizmów uwierzytelniania wieloskładnikowego.
W praktyce oznacza to, że przestępcy nie muszą wdrażać klasycznego złośliwego oprogramowania, aby osiągnąć swój cel. Zamiast tego wykorzystują zaufane procesy logowania i błędy ludzkie, a następnie wykradają dane firmowe wykorzystywane później do wymuszeń finansowych.
W skrócie
- Helix prowadzi ataki vishingowe ukierunkowane na użytkowników Microsoft 365.
- Napastnicy stosują device code phishing i przejmują dostęp do kont.
- Po uzyskaniu dostępu rejestrują własne metody MFA, aby utrwalić obecność.
- Kluczowym celem operacji są zasoby SharePoint i dane o wysokiej wartości biznesowej.
- Model działania kończy się wymuszeniem okupu pod groźbą publikacji skradzionych informacji.
Kontekst / historia
Aktywność Helix wpisuje się w rosnący trend ataków opartych na kradzieży danych i wymuszeniach bez szyfrowania systemów. Badacze wskazują, że kampanie tej grupy wykazują podobieństwa do wcześniejszych operacji przypisywanych podmiotom związanym z ekosystemem wycieków i wymuszeń, w tym do działań kojarzonych z ShinyHunters oraz BlackFile.
Na szczególną uwagę zasługuje moment pojawienia się Helix. Grupa została zauważona krótko po osłabieniu aktywności BlackFile, co może sugerować reorganizację operatorów, przejęcie części narzędzi lub adaptację sprawdzonych technik do nowych kampanii. Choć nie ma publicznie potwierdzonego jednoznacznego powiązania operacyjnego, podobieństwo taktyk i celów jest wyraźne.
Analiza techniczna
Łańcuch ataku rozpoczyna się od rozmowy telefonicznej z pracownikiem. Atakujący podszywają się pod przełożonego, helpdesk albo dział bezpieczeństwa, tworząc poczucie presji i pilności. Celem jest skłonienie ofiary do wykonania działań, które formalnie wyglądają jak legalna procedura administracyjna.
Kluczową techniką jest device code phishing. Zamiast klasycznego fałszywego panelu logowania napastnik przekonuje użytkownika do wprowadzenia kodu urządzenia lub zatwierdzenia procesu logowania w legalnym mechanizmie dostawcy tożsamości. Taki model utrudnia wykrycie, ponieważ nie zawsze zostawia ślady typowe dla tradycyjnego phishingu haseł.
Po przejęciu dostępu operatorzy Helix rejestrują nową aplikację lub metodę MFA, uzyskując trwałość i możliwość ponownego logowania bez konieczności ponownego angażowania ofiary. Następnie rozpoczynają rozpoznanie środowiska, identyfikując witryny SharePoint, biblioteki dokumentów oraz zbiory danych o największej wartości.
W obserwowanych incydentach widoczny był powtarzalny wzorzec masowego wyszukiwania i pobierania plików z SharePoint. To właśnie etap eksfiltracji danych stanowi jeden z najważniejszych artefaktów pozwalających wiązać zdarzenia z tą grupą. Charakterystyczne są duże wolumeny pobrań, sekwencyjna enumeracja zasobów oraz wykorzystanie legalnych sesji użytkownika.
Atak kończy się zwykle modelem data extortion. Oznacza to, że organizacja może nie odnotować typowego incydentu ransomware, ponieważ systemy nie są szyfrowane, ale mimo to firma staje wobec realnego szantażu związanego z ujawnieniem przejętych danych.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem ataku jest utrata poufności danych przechowywanych w SharePoint. Mogą to być dokumenty strategiczne, dane klientów, umowy, materiały regulacyjne, wewnętrzna korespondencja projektowa oraz własność intelektualna. W wielu organizacjach właśnie platformy współpracy chmurowej stały się głównym repozytorium wiedzy biznesowej.
Zagrożenie jest szczególnie trudne do wykrycia, ponieważ działania przestępców odbywają się w oparciu o legalne mechanizmy logowania i autoryzacji. Jeżeli organizacja nie monitoruje zmian metod MFA, aktywności tożsamościowej, nietypowych operacji OAuth oraz anomalii w zachowaniu użytkowników w SharePoint, incydent może pozostać niewidoczny przez dłuższy czas.
Dodatkowym problemem jest silny komponent socjotechniczny. Nawet firmy posiadające rozwinięte kontrole techniczne mogą zostać skutecznie zaatakowane, jeśli pracownicy są skłonni wykonywać pilne polecenia administracyjne wyłącznie na podstawie rozmowy telefonicznej.
Rekomendacje
Organizacje powinny w pierwszej kolejności ocenić, czy uwierzytelnianie z użyciem device code flow jest rzeczywiście potrzebne we wszystkich scenariuszach biznesowych. Jeżeli nie, warto je ograniczyć lub wyłączyć tam, gdzie to możliwe, aby zmniejszyć powierzchnię ataku.
Równie ważny jest ścisły nadzór nad rejestracją nowych metod MFA. Każde dodanie aplikacji uwierzytelniającej, numeru telefonu lub innego czynnika powinno podlegać logowaniu, korelacji i alertowaniu, zwłaszcza jeśli poprzedził je nietypowy kontakt z pomocą techniczną albo logowanie z nowego kontekstu.
Dostęp do SharePoint warto ograniczyć do urządzeń zarządzanych i zgodnych z polityką bezpieczeństwa. Mechanizmy dostępu warunkowego, kontrola stanu urządzenia oraz segmentacja uprawnień mogą istotnie utrudnić wykorzystanie przejętego konta do masowej eksfiltracji danych.
W obszarze detekcji należy monitorować:
- nagłe wzrosty liczby pobieranych plików,
- masowe operacje wyszukiwania w SharePoint,
- nietypowe logowania użytkowników,
- rejestrację nowych metod MFA,
- aktywność pochodzącą z niestandardowych klientów i sesji.
Nie mniej istotne są działania organizacyjne. Pracownicy powinni być szkoleni z rozpoznawania vishingu i wiedzieć, że żądania dotyczące logowania, resetu dostępu, rejestracji MFA czy autoryzacji urządzenia muszą być weryfikowane niezależnym kanałem komunikacji.
Podsumowanie
Helix pokazuje, że współczesne ataki na środowiska chmurowe coraz częściej bazują nie na malware, lecz na manipulacji użytkownikiem i nadużywaniu prawidłowych mechanizmów uwierzytelniania. Połączenie vishingu, device code phishingu, przejęcia MFA i ukierunkowanej eksfiltracji z SharePoint tworzy model działania wyjątkowo skuteczny wobec organizacji opartych na Microsoft 365.
Dla zespołów bezpieczeństwa oznacza to konieczność traktowania ochrony tożsamości, monitoringu zmian MFA, dostępu warunkowego i analizy anomalii w SharePoint jako elementów pierwszej linii obrony. W przeciwnym razie pojedyncza skuteczna rozmowa telefoniczna może doprowadzić do pełnoskalowego naruszenia danych i kosztownego incydentu wymuszeniowego.