A magát Helixnek nevező cyberbűnözői csoport talán új szereplő, a módszerei viszont egyáltalán nem azok.
A ReliaQuest friss kutatása szerint a Helix adat-zsarolási kampányokat folytat, amelyekben hangalapú adathalászatot (vishing), Microsoft device code alapú adathalászatot és automatizált SharePoint-adatlopást kombinál. A biztonsági cég nem tudja egyértelműen a BlackFile-hoz vagy a ShinyHuntershez kötni a csoportot, de úgy látja, a hasonlóságok túl erősek ahhoz, hogy véletlenek legyenek.
A támadások nem kártevővel indulnak. Egy telefonhívással kezdik.
Az egyik esetben az állítólagos támadó a hívóazonosítót meghamisítva a sértett felettesének adta ki magát, és rábeszélte az alkalmazottat, hogy írjon be egy Microsoft device code-ot a Chrome-ba. Az áldozat soha nem adta meg a jelszavát, de ez nem számított. A device code folyamat így is hitelesített hozzáférést adott a támadónak.
Innen a beszámolók szerint nem is vesztegették az időt. A ReliaQuest szerint a Helix jellemzően saját MFA hitelesítőt regisztrál a feltört fiókon, hogy tartósan hozzáférjen, csendben átnézi a SharePoint-tartalmakat, majd automatizált eszközökre vált, amelyek nagy mennyiségű adatot keresnek és töltenek le. A cég azt is megfigyelte, hogy a támadók lakossági proxy szolgáltatásokat használnak, olyan IP-címekkel, amelyek megegyeznek az áldozat városával, így a bejelentkezések sokkal leGititimnek tűnnek.
A ReliaQuest úgy véli, a Helix ugyanahhoz a bűnözői ökoszisztémához tartozhat, amelyből a BlackFile és a ShinyHunters is kinőtt. Az egyik bizonyíték az infrastruktúra. A Helix által adatkiáramoltatásra használt egyik IP-cím mindössze négy címmel van arrébb egy olyan IP-től, amelyet korábban a BlackFile-hoz kötöttek, ugyanazon a hosting szolgáltatónál. Az oskeysync[.]com adathalász domain-t pedig olyan regisztrátoron keresztül jegyezték be, amely már többször felbukkant BlackFile-, ShinyHunters- és Scattered Spider-kampányokban.
Számomra az volt a legfeltűnőbb, mennyire kevés kártevőt használnak. Ez alapvetően identitás elleni támadás. Rávesznek valakit, hogy hozzáférést adjon, regisztrálják a saját MFA-módszerüket, majd leGititim Microsoft-szolgáltatásokkal lopják el az adatokat. Az ilyen behatolást sokkal nehezebb észrevenni, mint egy kártékony futtatható állományt.
A ReliaQuest szerint a szervezeteknek, ha csak lehet, ki kell kapcsolniuk a Microsoft device code alapú hitelesítést, mert ez volt az elsődleges belépési pont az általuk vizsgált támadásokban. Ha ez nem megoldható, azt javasolják, hogy korlátozzák a hozzáférést menedzselt eszközökre, követeljenek megfelelőségi szintet a Microsoft 365-szolgáltatások – például a SharePoint – eléréséhez, és blokkolják az újonnan regisztrált domaineket, amelyeket gyakran használnak adathalász kampányokban.
A csoportok nevei folyamatosan változnak, a forgatókönyv viszont nem. Amíg a támadók rá tudják venni az embereket, hogy jóváhagyják a hozzáférést, addig jóval ritkábban kell majd kártevőkre támaszkodniuk.

