Helix กลุ่มแฮ็กเกอร์รายใหม่ใช้ Vishing ขโมยข้อมูลจาก SharePoint

กลุ่มผู้โจมตีรายใหม่ที่ชื่อว่า Helix กำลังใช้เทคนิคการโจมตีที่มุ่งเป้าไปยังตัวตนของผู้ใช้งานเพื่อขโมยข้อมูลจากระบบจัดเก็บข้อมูล (Environment) ของ SharePoint โดยเทคนิคที่พบ ได้แก่ Voice Phishing (Vishing), Device Code Phishing และการโจมตีที่อาศัยการใช้ Multi-Factor Authentication (MFA) มาใช้ในทางที่ผิด

การเข้าถึงเหยื่อในระยะแรก เริ่มต้นจากการทำ Vishing โดยในบางกรณี ผู้โจมตีจะโทรหาพนักงานพร้อมแอบอ้างว่าเป็นผู้จัดการของพวกเขา ซึ่งอาจใช้ทั้งชื่อของผู้จัดการจริง หรือเทคนิค Caller ID Spoofing เพื่อปลอมหมายเลขโทรศัพท์ให้ดูน่าเชื่อถือ

เป้าหมายของการหลอกลวงครั้งนี้ คือการหลอกให้เหยื่อทำขั้นตอน Device Code Phishing เพื่อให้ผู้โจมตีสามารถเข้าถึงบัญชีผู้ใช้งานของเหยื่อได้สำเร็จ

เมื่อสามารถเข้าถึงบัญชีได้แล้ว ผู้โจมตีจาก Helix จะรีบลงทะเบียน Authenticator App ตัวใหม่เป็นปัจจัยยืนยันตัวตนแบบ Multi-Factor Authentication (MFA) กับบัญชีของเหยื่อ เพื่อใช้เป็นช่องทางรักษาการเข้าถึงระบบ (Persistence) จากนั้นจึงเริ่มสำรวจ และรวบรวมข้อมูลภายใน SharePoint ก่อนขโมยไฟล์ออกจากระบบ

นักวิจัยจากบริษัทรักษาความปลอดภัยไซเบอร์ ReliaQuest ระบุว่า ข้อมูลที่ถูกขโมยไปมักถูกนำไปใช้ในการเรียกค่าไถ่ โดยผู้โจมตีจะข่มขู่องค์กรของเหยื่อว่าจะเผยแพร่ข้อมูลหากไม่ยอมจ่ายค่าไถ่ หรือไม่เช่นนั้นก็อาจนำข้อมูลดังกล่าวไปขายต่อให้กับอาชญากรไซเบอร์รายอื่น

พฤติกรรมการขโมยข้อมูลจาก SharePoint ถือเป็นลักษณะทางเทคนิคที่โดดเด่นที่สุดของกลุ่ม Helix

นักวิจัยระบุว่า รูปแบบการ Enumerate และรวบรวมข้อมูลแบบอัตโนมัติมีลักษณะเหมือนกันในทุกเหตุการณ์ที่ตรวจพบ และถือเป็นตัวบ่งชี้ที่น่าเชื่อถือที่สุดของกลุ่มนี้ โดยกระบวนการ Enumerate ถูกดำเนินการจาก IP Address 179.43.185[.]230 และใช้ User-Agent เป็น python-requests/2.28.1

นอกจากนี้ ผู้โจมตียังสั่งค้นหาข้อมูลใน SharePoint ด้วยคำค้น contentclass:STS_Site และ Wildcard เพื่อสำรวจ และจัดทำรายการของข้อมูลทั้งหมดที่สามารถเข้าถึงได้ ก่อนจะทำการดาวน์โหลดข้อมูลจำนวนมากโดยใช้ IP Address และ User-Agent เดิมตลอดทั้งกระบวนการ

ความเชื่อมโยงกับ ShinyHunters และ BlackFile

นักวิจัยจาก ReliaQuest เชื่อว่า Helix อาจแตกตัวมาจากกลุ่ม ShinyHunters และ BlackFile ซึ่งเป็นกลุ่มที่มุ่งโจมตีเพื่อขโมยข้อมูลและเรียกค่าไถ่ โดยพิจารณาจากเทคนิคการโจมตี และโครงสร้างพื้นฐานที่นำมาใช้ อย่างไรก็ตาม นักวิจัยยังไม่พบหลักฐานที่ยืนยันความเชื่อมโยงดังกล่าวได้อย่างชัดเจน

ตลอดช่วงเดือนที่ผ่านมา องค์กรหลายแห่ง ได้แก่ Medtronic, Nissan, NAIC, Kodak, Infinite Campus และ Nottingham University ได้ยืนยันว่าตกเป็นเหยื่อของเหตุการณ์ข้อมูลรั่วไหลซึ่งก่อนหน้านี้กลุ่ม ShinyHunters อ้างว่าเป็นผู้ก่อเหตุไว้แล้ว

กลุ่ม BlackFile ซึ่งปัจจุบันยุติการดำเนินการไปแล้ว เคยมุ่งเป้าโจมตีองค์กรผ่าน Identity-based Attacks และเทคนิค Social Engineering ก่อนจะยุติปฏิบัติการลงในเดือนเมษายนที่ผ่านมา

จากการวิเคราะห์ของ ReliaQuest พบว่า หนึ่งในเหตุการณ์ที่เกี่ยวข้องกับ Helix มีการใช้ IP Address สำหรับขโมยข้อมูล ซึ่งอยู่ใน Autonomous System (AS 51852) เดียวกับ IP Address ที่ยืนยันได้ว่าเคยถูกใช้โดยกลุ่ม BlackFile สะท้อนให้เห็นถึงความเป็นไปได้ที่ทั้งสองกลุ่มอาจใช้ทรัพยากร หรือโครงสร้างพื้นฐานร่วมกัน

นอกจากนี้ การที่ Helix เริ่มปรากฏตัวไม่นานหลังจาก BlackFile ยุติปฏิบัติการ ยังอาจบ่งชี้ได้ว่า Helix เป็นการสานต่อกิจกรรมของกลุ่มเดิมในรูปแบบใหม่ แม้จะยังไม่มีหลักฐานยืนยันโดยตรงก็ตาม ทั้งนี้ ReliaQuest ยังระบุว่า Pink และ Redact ก็เป็นอีกสองกลุ่มที่อาจเป็นผู้สืบทอดการดำเนินงานของ BlackFile เช่นกัน

ในส่วนของความเชื่อมโยงกับกลุ่ม ShinyHunters นักวิจัยพบว่า Helix มีรูปแบบการโจมตีผ่าน Social Engineering ที่คล้ายคลึงกันอย่างมาก ไม่ว่าจะเป็นการใช้ Vishing การปลอมตัวเป็นพนักงาน หรือบุคคลภายในองค์กร (Employee Impersonation) การมุ่งเป้าโจมตี Microsoft 365 รวมถึงการขโมยข้อมูลจาก SharePoint

เบาะแสอีกประการหนึ่งคือ การที่ Helix ใช้บริการจดทะเบียนโดเมน (Domain Registrar) ของ NICENIC ซึ่งก่อนหน้านี้ก็เคยพบว่าถูกใช้ในการโจมตีของกลุ่ม ShinyHunters เช่นกัน

สำหรับมาตรการป้องกันที่มีประสิทธิภาพสูงสุดต่อการโจมตีของ Helix นักวิจัยแนะนำให้ปิดการใช้งาน Device Code Authentication ในกรณีที่สามารถดำเนินการได้

นอกจากนี้ ยังแนะนำให้จำกัดการเข้าถึง SharePoint ให้เฉพาะอุปกรณ์ที่เป็น Managed Devices ขององค์กรเท่านั้น รวมถึงบล็อกการติดต่อ หรือการเชื่อมต่อกับโดเมนที่เพิ่งจดทะเบียนใหม่ เนื่องจาก Helix มักนำโดเมนลักษณะดังกล่าวมาใช้เป็นส่วนหนึ่งของการโจมตีอยู่เป็นประจำ

ที่มา : bleepingcomputer