Giriş
Son zamanlarda, “Helix” adlı yeni bir veri zorbalığı grubu, SharePoint ortamlarını hedefleyerek, sesli kimlik avı (vishing), cihaz kodu kimlik avı ve çok faktörlü kimlik doğrulama (MFA) istismarını içeren taktiklerle veri çalmaktadır. Bu tür saldırılar, kullanıcıların güvenliğini tehdit eden önemli bir gelişmedir.
Saldırı Nasıl Çalışıyor?
Helix operatörleri, ilk teması genellikle vishing yoluyla kurarak gerçekleştiriyor. Bazı durumlarda, tehdit aktörleri çalışanların yöneticilerini taklit ediyor ve ya yöneticinin adını ya da arayanın kimliğini sahte olarak gösteriyor.
Bu saldırının amacı, hedefi cihaz kodu kimlik avı şemalarına çekerek hesaplara erişim elde etmektir. Hedefe ulaştıktan sonra, Helix operatörleri yeni bir çok faktörlü kimlik doğrulama uygulaması kaydederek kalıcılık elde ediyor ve daha sonra SharePoint içeriğini inceleyip dosyaları dışarıya aktarabiliyor.
Etkilenen Sistemler
Helix’in veri dışleme davranışları, en güçlü teknik parmak izi olarak kabul edilmektedir. Güvenlik araştırmacıları, Helix’in otomatik envanterleme ve toplama işlemlerinin tüm olaylarda benzerlik gösterdiğini belirtmektedir. Bu işlemler, 179.43.185[.]230 IP adresi üzerinden python-requests/2.28.1 kullanıcı aracısı ile gerçekleştirilmiştir.
Belirli SharePoint içerikleri üzerinde contentclass:STS_Site komutları verilerek tüm erişilebilir içerik envanterlenmiş ve benzer IP adresinden toplu indirme işlemleri gerçekleştirilmiştir.
Bağlantılar ve Geçmiş Gruplarla İlişki
ReliaQuest, Helix’in teknik ve altyapı kullanımlarına bakarak ShinyHunters ve BlackFile veri zorbalığı gruplarından türediğini öne sürse de, kesin bir bağlantı bulamamıştır. Geçtiğimiz ay Medtronic, Nissan, NAIC, Kodak, Infinite Campus ve Nottingham Üniversitesi, ShinyHunters tarafından daha önce iddia edilen veri ihlallerini onaylamıştır.
BlackFile grubu, kimlik temelli saldırılar ve sosyal mühendislik yöntemleri kullanarak kuruluşları hedeflerken, Nisan ayında faaliyetlerine son vermiştir. ReliaQuest’in araştırmaları, Helix saldırılarından birinin, onaylanmış BlackFile IP adresinin bulunduğu aynı otonom sistemde bir dışlama IP adresi kullandığını, bu durumun paylaşılan kaynakları gösterdiğini belirtiyor.
ShinyHunters ile ilişkisi açısından, Helix’in sosyal mühendislik yöntemleri tamamen benzer bir yaklaşım sergilemektedir. Vishing, çalışan taklidi yapma, Microsoft 365’i hedef alma ve SharePoint verilerini çalma gibi taktikler kullanmaktadır. Ek bir ipucu ise, NICENIC kayıt kuruluşunun geçmiş ShinyHunters kampanyalarında da yer almasıdır.
Çözüm ve Korunma
Helix saldırılarına karşı en etkili savunma önlemi, mümkün olduğunda cihaz kodu kimlik doğrulamasının devre dışı bırakılmasıdır.
Ayrıca öneriler:
- SharePoint erişimini yalnızca yönetilen cihazlarla sınırlayın.
- Helix’in genellikle kullandığı yeni kayıtlı alan adlarıyla etkileşimleri engelleyin.
Sonuç
Bu tür saldırılara karşı dikkatli olmanız ve gerekli güvenlik önlemlerini almanız önemlidir. Hemen güncellemeler yapın, cihaz kodu kimlik doğrulamasını kontrol edin ve izinsiz erişimleri engellemek için SharePoint erişim ayarlarınızı gözden geçirin. Unutmayın, siber güvenliğiniz, sürekli eğitim ve güncellemeler gerektirir.


