
Kimlik odaklı saldırılar gerçekleştiren Helix adlı yeni siber tehdit grubu, Microsoft SharePoint ortamlarını hedef alan veri hırsızlığı operasyonlarıyla güvenlik araştırmacılarının radarına girdi. ReliaQuest tarafından yayımlanan analiz, grubun sesli oltalama (vishing), cihaz kodu kimlik avı ve çok faktörlü kimlik doğrulama yöntemlerini kötüye kullanarak kurumsal Microsoft 365 hesaplarına sızdığını ortaya koydu. Araştırmacılar, saldırıların temel amacının çalınan verilerle şirketlerden fidye talep etmek olduğunu belirtiyor.
Saldırılar Çalışanların Telefonla Aranmasıyla Başlıyor
ReliaQuest, Helix grubunun ilk teması doğrudan telefon görüşmeleriyle kurduğunu açıkladı. Helix vishing saldırısı sırasında saldırganlar, bazı olaylarda şirket yöneticisinin adını kullanırken bazı vakalarda ise arayan numarasını taklit ederek güven oluşturuyor. Sosyal mühendislik saldırısı, çalışanın cihaz kodu doğrulama ekranında saldırganın yönlendirdiği işlemleri gerçekleştirmesini sağlamayı hedefliyor.
Cihaz kodu kimlik avı tekniği, kullanıcıyı meşru görünen doğrulama ekranına yönlendirerek oturum belirtecinin saldırganın eline geçmesini sağlayabiliyor. Kullanıcı kimlik bilgilerini doğrudan paylaşmasa bile yanlış doğrulama işlemi sonucunda hesabın kontrolü saldırganlara aktarılabiliyor.
SharePoint Verileri Sistematik Şekilde Toplanıyor
Saldırganlar hesaba erişim sağladıktan sonra kalıcılığı artırmak amacıyla yeni bir çok faktörlü kimlik doğrulama uygulaması kaydediyor. MFA uygulaması kötüye kullanımı sayesinde hesap sahibi daha sonra parolasını değiştirse bile saldırganlar erişimlerini sürdürebiliyor. Güvenlik uzmanları, bu yöntemin son dönemde Microsoft 365 saldırılarında giderek daha sık kullanılmaya başladığını belirtiyor.
Helix grubu daha sonra SharePoint ortamını otomatik olarak tarıyor, erişilebilen site koleksiyonlarını belirliyor ve toplu veri indirme işlemi gerçekleştiriyor. ReliaQuest’e göre grubun en belirgin teknik izi, aynı IP adresi ile Python tabanlı “python-requests/2.28.1” kullanıcı aracısını kullanarak SharePoint üzerinde sistematik içerik taraması yapması. SharePoint veri sızıntısı, Helix operasyonlarının en güçlü teknik göstergesi olarak değerlendiriliyor.
Güvenlik Araştırmacıları Eski Tehdit Gruplarıyla Benzerlik Tespit Etti
ReliaQuest, Helix’in doğrudan bağlantısını doğrulayamasa da ShinyHunters ile BlackFile gruplarıyla dikkat çekici benzerlikler bulunduğunu belirtiyor. Araştırmacılar, BlackFile tarafından daha önce kullanılan otonom sistem üzerinde yer alan IP adreslerinden birinin Helix operasyonlarında da görüldüğünü aktarıyor. BlackFile grubu, kimlik temelli saldırılar gerçekleştirdikten sonra nisan ayında faaliyetlerini sonlandırmıştı.
ShinyHunters ile benzerlikler ise saldırı yöntemlerinde öne çıkıyor. Çalışanları telefonla arama, Microsoft 365 hesaplarını hedef alma, SharePoint verilerini çalma ve yeni alan adları kullanma gibi yöntemler iki grup arasında ortak özellikler olarak gösteriliyor. Araştırmacılar ayrıca NICENIC alan adı kayıt hizmetinin geçmiş ShinyHunters kampanyalarında da kullanıldığını belirtiyor.
Microsoft 365 Ortamları İçin Yeni Güvenlik Önlemleri Öneriliyor
ReliaQuest, Helix saldırılarına karşı en etkili savunma yönteminin cihaz kodu kimlik doğrulamasını kullanılmadığı ortamlarda devre dışı bırakmak olduğunu ifade ediyor. Microsoft 365 güvenliği açısından yalnızca yönetilen cihazların SharePoint erişimine izin verilmesi ve yeni kaydedilen alan adlarına yönelik ağ trafiğinin sınırlandırılması da öneriler arasında yer alıyor.
Kimlik odaklı saldırılar son dönemde fidye yazılımı operasyonlarının önüne geçmeye başladı. Güvenlik uzmanları, çalışan farkındalık eğitimlerinin yanı sıra kimlik doğrulama süreçlerinin düzenli olarak gözden geçirilmesinin, sosyal mühendislik temelli veri sızıntılarının önlenmesinde kritik rol oynadığına dikkat çekiyor.




