New Helix vishing group emerges in SharePoint data theft attacks
Eine neue Cybercrime-Gruppe namens Helix nutzt Vishing und MFA-Missbrauch, um Daten aus SharePoint-Umgebungen zu stehlen. Unternehmen, die SharePoint nutzen, sind betroffen und sollten ihre Sicherheitsmaßnahmen überprüfen. Es wird empfohlen, Mitarbeiter für diese Art von Phishing zu sensibilisieren und MFA-Protokolle zu stärken.
Eine neue Cybercrime-Gruppe namens Helix nutzt Vishing und MFA-Missbrauch, um Daten aus SharePoint-Umgebungen zu stehlen. Unternehmen, die SharePoint nutzen, sind betroffen und sollten ihre Sicherheitsmaßnahmen überprüfen. Es wird empfohlen, Mitarbeiter für diese Art von Phishing zu sensibilisieren und MFA-Protokolle zu stärken.
Unternehmen, die SharePoint nutzen, insbesondere in der Energiebranche.
Die Gruppe Helix nutzt Vishing und MFA-Missbrauch, um sensible Daten aus SharePoint zu exfiltrieren, was zu erheblichen Datenschutzverletzungen führen kann. Dies erfordert eine sofortige Überprüfung der Identitäts- und Zugriffsmanagement-Sicherheitskontrollen.
Umfassender Diebstahl sensibler Daten aus SharePoint-Umgebungen, der zu finanziellen Verlusten, Reputationsschäden und regulatorischen Strafen führen kann.
Mitarbeiter für Vishing-Taktiken schulen, MFA-Protokolle stärken und die Überwachung von SharePoint-Zugriffen verbessern.
- ▸Überprüfen Sie, ob Ihre MFA-Lösungen gegen bekannte MFA-Missbrauchstechniken resistent sind (z.B. MFA-Prompt-Bombing).
- ▸Führen Sie interne Vishing-Simulationen durch, um die Anfälligkeit der Mitarbeiter zu testen und Schulungsbedarf zu identifizieren.
- ▸Überprüfen Sie die Protokolle für ungewöhnliche Zugriffe auf SharePoint-Umgebungen, insbesondere von neuen oder unbekannten Geräten/Standorten.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1566 Phishing | High | Eine neue Cybercrime-Gruppe namens Helix nutzt Vishing [...] |
| Initial Access | T1566.001 Phishing: Spearphishing Attachment | Low | nutzt Vishing und MFA-Missbrauch |
| Defense Evasion | T1621 Multi-Factor Authentication Request Generation | High | MFA-Missbrauch, um Daten aus SharePoint-Umgebungen zu stehlen. |
- Spezifische Vishing-Skripte oder -Taktiken, die von der Helix-Gruppe verwendet werden, sind nicht detailliert.
- Die genauen Methoden des MFA-Missbrauchs (z.B. Push-Bombing, SIM-Swapping) sind nicht spezifiziert.
- Es wird nicht angegeben, welche Art von Daten aus SharePoint gestohlen werden.
- Es werden keine spezifischen CVEs oder IOCs genannt.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Ja
- Privilege Escalation relevant?Möglich
- Exploit öffentlich verfügbar?Unklar
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Unklar
Kundenfragen
- Haben wir SharePoint extern erreichbar?
- Können wir Initial Access detektieren?
- Können wir Persistence detektieren?