تقنى

هيليكس تستهدف حسابات Microsoft 365 وتسرق بيانات SharePoint عبر هجمات تعتمد على الهوية

مجموعة Helix هي جهة ابتزاز بيانات حديثة التعريف تستهدف بيئات Microsoft 365 وSharePoint من خلال اختراق الهوية بدلاً من الثغرات البرمجية. وتستخدم أساليب مثل التصيد الصوتي، والتصيد عبر رمز الجهاز، وإساءة استخدام المصادقة متعددة العوامل للوصول إلى حسابات الشركات في Microsoft 365.

بمجرد الدخول إلى البيئة، يقوم المهاجمون بسرقة بيانات من SharePoint ويستخدمونها للضغط على الضحايا للدفع أو لبيعها لمجرمين آخرين.

التصيد الصوتي وتزوير الهوية للوصول إلى Microsoft 365

يتم الاتصال بالموظفين عبر الهاتف عادةً، حيث ينتحل المشغلون هوية أشخاص موثوقين داخل الشركة، ووصل الأمر أحياناً إلى تقمص رئيس الموظف. بعدها يُرشد الضحية إلى إجراء تصيد عبر رمز الجهاز، وهو ما يسمح للمهاجم بالوصول إلى حساب الموظف دون استغلال ثغرة برمجية مباشرة.

بعد الحصول على الوصول، يسجل المهاجمون بسرعةطريقة MFA جديدة لتثبيت وجود مستمر في البيئة المصابة.

كيف يتعامل Helix مع SharePoint وعمليات التصدير

بعد الدخول، يستكشف Helix بيئة Microsoft 365 المصابة ويبحث عن موارد SharePoint قابلة للوصول. وتُظهر الملاحظات التقنية نشاطاً آلياً في جرد المحتوى باستخدام محتوى-الفئة (contentclass) واستعلامات عامة لتحديد المحتوى القابل للوصول، ثم يقومون بتنزيل ملفات من SharePoint بكميات كبيرة. وتُشير بيانات النطاق إلى استخدام وكيل المستخدم python-requests/2.28.1 في عمليات الجرد والتصدير.

قد تكون هناك صلة محتملة لـ Helix بمجموعتي BlackFile أو ShinyHunters، وفق تقارير ReliaQuest، رغم أنها لم تقدم دليلاً قاطعاً على وجود ارتباط مباشر. كلا التهديدين اعتمدا على الهندسة الاجتماعية والهجمات القائمة على الهوية أكثر من الاعتماد على توزيع برامج ransomware التقليدية.

إجراءات دفاع مقترحة ضد Helix

يمكن للمؤسسات تقليل التعرض عبر تعطيل المصادقة عبر رمز الجهاز عند عدم الحاجة إليها، وتقييد وصول SharePoint للأجهزة المدارة والمتوافقة، والرقابة الدقيقة على تسجيل أساليب MFA الجديدة، وتدقيق الاتصالات المرتبطة بالنطاقات المسجلة حديثاً.

ينبغي لفرق الأمن تدريب الموظفين على التحقق المستقل من الاتصالات غير المتوقعة من المدراء أو فرق IT، خاصة حين يطلب من الموظف إتمام تسجيل الدخول أو عملية مصادقة. كما يُنصَح بمراقبة نشاط Microsoft 365 خصوصاً تسجيلات الدخول عبر رمز الجهاز غير المعتادة، التسجيلات الجديدة لـ MFA، عمليات بحث SharePoint، والتنزيلات الجماعية من SharePoint.

تأتي هذه التطورات في سياق انتشار منصات التصيد التي كشفتها تقارير حديثة، وتؤكد أهمية اليقظة المستمرة وتحديث إجراءات الدفاع الصحيحة لمواجهة هجمات الاعتماد على الهوية مثل Helix.

زر الذهاب إلى الأعلى