SecBoard
Zurück zur Übersicht

New Helix vishing group emerges in SharePoint data theft attacks

BleepingComputer·
Originalartikel lesen bei BleepingComputer

Eine neue Cybercrime-Gruppe namens Helix nutzt Vishing und MFA-Missbrauch, um Daten aus SharePoint-Umgebungen zu stehlen. Unternehmen, die SharePoint nutzen, sind betroffen und sollten ihre Sicherheitsmaßnahmen überprüfen. Es wird empfohlen, Mitarbeiter für diese Art von zu sensibilisieren und MFA-Protokolle zu stärken.

Kurzfassung

Eine neue Cybercrime-Gruppe namens Helix nutzt Vishing und MFA-Missbrauch, um Daten aus SharePoint-Umgebungen zu stehlen. Unternehmen, die SharePoint nutzen, sind betroffen und sollten ihre Sicherheitsmaßnahmen überprüfen. Es wird empfohlen, Mitarbeiter für diese Art von Phishing zu sensibilisieren und MFA-Protokolle zu stärken.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Unternehmen, die SharePoint nutzen, insbesondere in der Energiebranche.

Warum relevant

Die Gruppe Helix nutzt Vishing und MFA-Missbrauch, um sensible Daten aus SharePoint zu exfiltrieren, was zu erheblichen Datenschutzverletzungen führen kann. Dies erfordert eine sofortige Überprüfung der Identitäts- und Zugriffsmanagement-Sicherheitskontrollen.

Realistisches Worst Case

Umfassender Diebstahl sensibler Daten aus SharePoint-Umgebungen, der zu finanziellen Verlusten, Reputationsschäden und regulatorischen Strafen führen kann.

Handlungsempfehlung

Mitarbeiter für Vishing-Taktiken schulen, MFA-Protokolle stärken und die Überwachung von SharePoint-Zugriffen verbessern.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie, ob Ihre MFA-Lösungen gegen bekannte MFA-Missbrauchstechniken resistent sind (z.B. MFA-Prompt-Bombing).
  • Führen Sie interne Vishing-Simulationen durch, um die Anfälligkeit der Mitarbeiter zu testen und Schulungsbedarf zu identifizieren.
  • Überprüfen Sie die Protokolle für ungewöhnliche Zugriffe auf SharePoint-Umgebungen, insbesondere von neuen oder unbekannten Geräten/Standorten.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1566 PhishingHighEine neue Cybercrime-Gruppe namens Helix nutzt Vishing [...]
Initial AccessT1566.001 Phishing: Spearphishing AttachmentLownutzt Vishing und MFA-Missbrauch
Defense EvasionT1621 Multi-Factor Authentication Request GenerationHighMFA-Missbrauch, um Daten aus SharePoint-Umgebungen zu stehlen.
Offene Punkte
  • Spezifische Vishing-Skripte oder -Taktiken, die von der Helix-Gruppe verwendet werden, sind nicht detailliert.
  • Die genauen Methoden des MFA-Missbrauchs (z.B. Push-Bombing, SIM-Swapping) sind nicht spezifiziert.
  • Es wird nicht angegeben, welche Art von Daten aus SharePoint gestohlen werden.
  • Es werden keine spezifischen CVEs oder IOCs genannt.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Ja
  • Privilege Escalation relevant?Möglich
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Haben wir SharePoint extern erreichbar?
  • Können wir Initial Access detektieren?
  • Können wir Persistence detektieren?

MITRE ATT&CK Kill Chain (3 Techniken)

Themen
Security