
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Helix to nowo zidentyfikowana grupa cyberprzestępcza specjalizująca się w atakach wymuszeniowych opartych na kradzieży danych. Jej operacje koncentrują się na środowiskach Microsoft 365 i SharePoint, a główną rolę odgrywają techniki socjotechniczne ukierunkowane na przejęcie tożsamości użytkownika, w tym vishing, phishing z użyciem kodów urządzeń oraz nadużycia mechanizmów uwierzytelniania wieloskładnikowego.
To kolejny przykład zmiany krajobrazu zagrożeń, w którym napastnicy coraz częściej rezygnują z klasycznego malware na rzecz przejmowania legalnych kont i wykorzystywania natywnych funkcji usług chmurowych.
W skrócie
Ataki przypisywane Helix zwykle zaczynają się od rozmowy telefonicznej, w której przestępca podszywa się pod przełożonego, dział IT lub inną zaufaną osobę w organizacji. Celem jest nakłonienie ofiary do przejścia przez proces device code phishing, co umożliwia uzyskanie dostępu do konta bez konieczności stosowania tradycyjnej fałszywej strony logowania.
Po przejęciu dostępu napastnicy rejestrują własną metodę MFA, utrwalają obecność w środowisku, a następnie przeszukują zasoby SharePoint i masowo eksportują dane. Skradzione informacje mogą być następnie używane do szantażu, wymuszeń finansowych lub odsprzedawane innym grupom przestępczym.
Kontekst / historia
Działania Helix wpisują się w rosnący trend kampanii opartych na inżynierii społecznej oraz przejmowaniu tożsamości zamiast infekowania stacji roboczych złośliwym oprogramowaniem. Tego typu operacje są trudniejsze do wykrycia, ponieważ często wykorzystują legalne procesy logowania i autoryzacji dostępne w usługach chmurowych.
Badacze zwracają uwagę na podobieństwa taktyk Helix do wcześniejszych działań kojarzonych z grupami takimi jak ShinyHunters oraz BlackFile. Wspólne elementy obejmują koncentrację na usługach Microsoft 365, zainteresowanie danymi przechowywanymi w SharePoint oraz zbliżone techniki socjotechniczne. Nie ma jednak publicznie potwierdzonego dowodu, że Helix stanowi bezpośrednią kontynuację którejkolwiek z tych grup.
Analiza techniczna
Łańcuch ataku rozpoczyna się od vishingu, czyli rozmowy telefonicznej z pracownikiem organizacji. Napastnik podszywa się pod menedżera, pracownika pomocy technicznej lub inną osobę cieszącą się zaufaniem. W części przypadków może wykorzystywać spoofing numeru telefonu albo prawdziwe dane personalne, aby zwiększyć wiarygodność rozmowy.
Następnie ofiara jest prowadzona przez proces device code phishing. Mechanizm ten opiera się na legalnym przepływie autoryzacji używanym przez niektóre urządzenia i aplikacje. Z punktu widzenia obrony jest to szczególnie niebezpieczne, ponieważ użytkownik sam zatwierdza dostęp dla sesji kontrolowanej przez atakującego, nie zawsze rozumiejąc rzeczywisty kontekst operacji.
Po uzyskaniu dostępu operatorzy Helix szybko rejestrują nową aplikację lub metodę MFA, co pozwala im utrzymać dostęp także po zakończeniu pierwotnej sesji. Ten etap zwiększa trwałość kompromitacji i utrudnia wykrycie incydentu, ponieważ dalsza aktywność odbywa się z użyciem poprawnie uwierzytelnionego konta.
Kolejnym krokiem jest rozpoznanie środowiska SharePoint. Napastnicy automatycznie przeszukują zasoby, wykonują zapytania służące do inwentaryzacji treści, a następnie przechodzą do hurtowego pobierania dokumentów. Charakterystyczny wzorzec obejmuje intensywną enumerację zasobów oraz masową eksfiltrację danych w krótkim czasie.
Z perspektywy detekcji szczególnie istotne są następujące sygnały:
- nietypowe logowania do Microsoft 365 z nowych lokalizacji lub adresów IP,
- rejestracja nowych metod MFA dla istniejących kont,
- gwałtowny wzrost liczby operacji wyszukiwania i odczytu w SharePoint,
- masowe pobieranie plików w krótkim przedziale czasu,
- aktywność użytkownika odbiegająca od jego normalnego profilu pracy.
Konsekwencje / ryzyko
Ryzyko związane z kampaniami Helix jest wysokie, ponieważ atak nie wymaga instalacji malware ani wykorzystania luki w systemie końcowym. W praktyce wystarcza skuteczna manipulacja użytkownikiem oraz nadużycie legalnych funkcji chmury, co sprawia, że tradycyjne zabezpieczenia endpointów mogą nie wykryć incydentu odpowiednio wcześnie.
Najpoważniejsze konsekwencje dla organizacji obejmują:
- utratę poufnych dokumentów przechowywanych w SharePoint,
- ryzyko szantażu i wymuszenia finansowego połączonego z groźbą publikacji danych,
- naruszenie zgodności regulacyjnej i obowiązki notyfikacyjne,
- szkody reputacyjne wynikające z ujawnienia danych klientów, partnerów lub informacji wewnętrznych,
- możliwość dalszej eskalacji działań w środowisku Microsoft 365.
Szczególnie narażone pozostają organizacje rozproszone, firmy z dużą liczbą użytkowników biznesowych korzystających z SharePoint oraz podmioty dopuszczające szeroki dostęp do danych z urządzeń niezarządzanych.
Rekomendacje
Najważniejszym środkiem obronnym jest ograniczenie lub wyłączenie uwierzytelniania z użyciem device code tam, gdzie nie jest ono rzeczywiście wymagane biznesowo. Organizacje powinny przeanalizować, które aplikacje i procesy faktycznie potrzebują tego przepływu, a następnie zablokować go dla wszystkich pozostałych przypadków.
Warto również wdrożyć dodatkowe działania ochronne:
- ograniczyć dostęp do SharePoint wyłącznie z urządzeń zarządzanych i zgodnych z polityką bezpieczeństwa,
- monitorować rejestrację nowych metod MFA i traktować takie zdarzenia jako wysokiego ryzyka,
- wdrożyć alerty dla nietypowej enumeracji, masowego wyszukiwania i hurtowego pobierania plików z SharePoint,
- stosować polityki warunkowego dostępu oparte na ryzyku, lokalizacji, stanie urządzenia i reputacji sesji,
- prowadzić regularne szkolenia antyphishingowe rozszerzone o scenariusze vishingowe,
- opracować procedury reagowania obejmujące szybkie wycofywanie sesji, reset metod MFA oraz przegląd logów Microsoft 365.
Dla zespołów SOC kluczowe znaczenie ma korelacja sygnałów z wielu warstw: logowań, zmian w MFA, aktywności SharePoint, geolokalizacji sesji i anomalii zachowań użytkownika. Dopiero takie podejście daje szansę na wykrycie ataku, który formalnie korzysta z poprawnych mechanizmów uwierzytelniania.
Podsumowanie
Helix pokazuje, że współczesne kampanie wymuszeniowe coraz częściej opierają się na przejęciu tożsamości i nadużyciu legalnych usług chmurowych zamiast klasycznych technik malware. Połączenie vishingu, device code phishing i szybkiej eksfiltracji danych z SharePoint tworzy model ataku skuteczny, skalowalny i trudny do zauważenia bez odpowiedniej telemetrii.
Dla organizacji korzystających z Microsoft 365 kluczowe staje się dziś nie tylko wzmacnianie MFA, ale również kontrola sposobów jego rejestracji, ograniczanie ryzykownych przepływów autoryzacji oraz szczegółowe monitorowanie operacji na danych w SharePoint. W przeciwnym razie nawet poprawnie uwierzytelnione sesje mogą stać się kanałem cichej i kosztownej kradzieży informacji.