Nhóm tấn công Helix nổi lên như một thế lực mới trong lĩnh vực tống tiền dữ liệu, chuyên nhắm mục tiêu vào người dùng Microsoft 365 thông qua các cuộc gọi lừa đảo (vishing) và kỹ thuật lừa đảo (phishing) tập trung vào đám mây, thay vì phương thức tấn công bằng mã độc truyền thống. Các kẻ tấn công ưu tiên việc giành quyền truy cập trước, sau đó mới tiến hành đánh cắp khối lượng lớn các tệp tin doanh nghiệp, với thư viện SharePoint trở thành mục tiêu chính yếu trong nhiều vụ việc. Khía cạnh nổi bật của chiến dịch này là việc nhóm lạm dụng danh tính người dùng thay vì các hành vi ransomware ồn ào. Kẻ tấn công nhắm đến việc chiếm quyền kiểm soát, sau đó là đánh cắp khối lượng lớn dữ liệu doanh nghiệp, với SharePoint trở thành một giải thưởng trung tâm trong nhiều vụ việc.
Phương thức Tấn công Độc đáo của Helix
Chiến dịch này khác biệt nhờ việc dựa vào lạm dụng danh tính thay vì các hành vi ransomware ồn ào. Kẻ tấn công tập trung vào việc giành quyền truy cập trước tiên, sau đó là đánh cắp khối lượng lớn các tệp tin doanh nghiệp, với các thư viện SharePoint trở thành mục tiêu chính yếu trong nhiều vụ việc.
Tấn công qua Điện thoại và Phishing Tập trung vào Đám mây
Nhóm Helix đã chứng tỏ khả năng thích ứng bằng cách sử dụng các kỹ thuật phi truyền thống. Thay vì phát tán mã độc, chúng sử dụng các cuộc gọi lừa đảo qua điện thoại (vishing) và các chiến dịch phishing nhắm mục tiêu cụ thể vào các dịch vụ đám mây, đặc biệt là Microsoft 365. Mục tiêu cuối cùng là giành quyền truy cập vào dữ liệu nhạy cảm được lưu trữ trên các nền tảng này.
Khai thác Lỗ hổng từ Lạm dụng Danh tính
Điểm khác biệt lớn nhất trong phương thức hoạt động của Helix là việc lạm dụng danh tính người dùng. Thay vì dựa vào các lỗ hổng zero-day hay mã độc phức tạp, nhóm này tập trung vào việc thao túng người dùng để họ tự cung cấp quyền truy cập. Điều này cho phép chúng vượt qua nhiều lớp bảo vệ truyền thống và làm cho việc phát hiện tấn công trở nên khó khăn hơn.
Kỹ thuật Chiếm quyền Truy cập
Các nhà phân tích nhận thấy hoạt động của Helix phản ánh một xu hướng rộng lớn hơn về các chuỗi xâm nhập dựa trên danh tính. Nhóm này tuân theo một quy trình nhất quán đã được quan sát thấy trong nhiều trường hợp.
Lừa người dùng Nhập Mã Thiết bị
Nạn nhân có thể bị thuyết phục nhập một mã thiết bị, trao cho kẻ tấn công một phiên đăng nhập hợp lệ. Kỹ thuật này cho phép kẻ tấn công bỏ qua nhiều dấu hiệu cảnh báo mà các chuyên gia phòng vệ thường mong đợi từ các vụ đánh cắp mật khẩu thông thường. Việc này rất quan trọng vì nhiều nhân viên không nhận thức được rằng hành động này tương đương với việc cung cấp thông tin đăng nhập, mặc dù kết quả cuối cùng có thể giống hệt nhau.
Trong ít nhất một trường hợp được xác nhận, kẻ tấn công đã giả mạo người quản lý của nạn nhân và hướng dẫn người dùng nhập mã thiết bị vào trình duyệt Chrome. Điều này cho phép kẻ tấn công chiếm đoạt một phiên đăng nhập đã được xác thực mà không cần yêu cầu mật khẩu.
Đăng ký Mã xác thực Đa yếu tố (MFA) Mới
Ngay sau khi giành được quyền truy cập vào tài khoản, kẻ tấn công thường đăng ký một thiết bị xác thực MFA mới trong vòng vài phút. Điều này tạo ra một điểm truy cập ổn định nhưng đơn giản, cho phép chúng duy trì sự hiện diện trong hệ thống mà không cần liên tục thực hiện các hành vi đáng ngờ.
Lạm dụng Hạ tầng Mạng và Kỹ thuật Lừa đảo Tinh vi
ReliaQuest phát hiện thấy Helix cũng đã thực hiện các hành vi sau:
- Đăng ký các tên miền phụ dành riêng cho mục tiêu dưới một tên miền lừa đảo.
- Sử dụng hạ tầng proxy dân cư (residential proxy) phù hợp với thành phố của nạn nhân.
- Luân phiên sử dụng nhiều địa chỉ IP nguồn để các lần đăng nhập trông có vẻ bình thường hơn.
Các kỹ thuật này giúp che giấu hoạt động của kẻ tấn công và làm cho việc phát hiện trở nên khó khăn hơn đối với các hệ thống giám sát an ninh.
Sau khi thiết lập quyền truy cập và sự bền vững, Helix chuyển sang giai đoạn khám phá và thu thập dữ liệu trong Microsoft 365. SharePoint liên tục trở thành nguồn cung cấp các tệp tin có giá trị cao.
Quy trình Thu thập Dữ liệu
Trong một số vụ việc, quá trình chuyển đổi từ truy cập sang exfiltration dữ liệu hàng loạt diễn ra chưa đầy một giờ. Ở các trường hợp khác, kẻ tấn công dành nhiều ngày để âm thầm đọc email, xem xét các trang web và chuẩn bị cho một đợt tải xuống lớn hơn.
ReliaQuest mô tả một quy trình bao gồm việc duyệt thủ công, sau đó là liệt kê tự động các thư viện SharePoint và tải xuống hàng loạt từ một địa chỉ IP được sử dụng riêng cho việc exfiltration. Chi tiết này rất quan trọng vì nó cho thấy Helix không chỉ đơn giản là lấy bất cứ thứ gì có thể nhìn thấy ngay lập tức, mà còn tổ chức việc đánh cắp để thu thập càng nhiều dữ liệu càng tốt với ít rào cản nhất.
Phòng ngừa và Giảm thiểu Rủi ro
Các biện pháp phòng thủ hiệu quả nhất vẫn là những biện pháp trực tiếp nhất:
- Vô hiệu hóa xác thực mã thiết bị nếu có thể.
- Hạn chế quyền truy cập vào các dịch vụ SaaS nhạy cảm chỉ từ các điểm cuối được quản lý.
- Chặn các tên miền mới đăng ký trước khi chúng có thể được sử dụng làm các đường lừa đảo mới.
Báo cáo cũng lưu ý rằng các bước phản ứng tiêu chuẩn như đặt lại mật khẩu, thu hồi phiên và vô hiệu hóa tài khoản vẫn có hiệu quả, nhưng chỉ khi chúng được thực hiện nhanh chóng và đồng thời trên cả hệ thống danh tính đám mây và tại chỗ.
Cửa sổ Phản ứng Hẹp
Trong một vụ việc, kẻ tấn công thậm chí còn cố gắng đăng ký lại MFA và đặt lại mật khẩu ngay sau khi tài khoản bị vô hiệu hóa. Điều này cho thấy cửa sổ phản ứng có thể hẹp như thế nào. Các tổ chức vẫn coi SharePoint như một công cụ cộng tác có rủi ro thấp có thể đang đánh giá thấp mức độ hấp dẫn của nó đối với các nhóm tống tiền.
Khi một danh tính bị xâm phạm có thể làm lộ các hợp đồng, kế hoạch nội bộ, hồ sơ pháp lý và dữ liệu khách hàng, kho lưu trữ đám mây trở thành cả mục tiêu và điểm áp lực. Helix cho thấy cách một cuộc gọi điện thoại được chuẩn bị kỹ lưỡng và một mã thiết bị duy nhất có thể mở ra cánh cửa cho một vụ đánh cắp dữ liệu SharePoint âm thầm, quy mô lớn, để lại rất ít dấu vết mã độc cho các đội phản ứng theo dõi.
Chỉ số Lỗi (Indicators of Compromise – IoCs)
Lưu ý: Địa chỉ IP và tên miền được cố tình làm giảm tính phân giải (ví dụ: sử dụng [.] thay cho .) để ngăn chặn việc phân giải hoặc tạo siêu liên kết ngẫu nhiên. Chỉ nên khôi phục định dạng ban đầu trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
- Các địa chỉ IP và tên miền được sử dụng cho lừa đảo và exfiltration.
- Mẫu hoạt động liên quan đến việc đăng ký mã thiết bị và thiết lập MFA mới.
- Hạ tầng proxy dân cư khớp với vị trí địa lý của nạn nhân.
- Các tên miền phụ được đăng ký dưới tên miền lừa đảo.
Ngăn chặn các sự cố nghiêm trọng và tổn thất tài chính bằng các biện pháp phòng vệ chủ động mạnh mẽ hơn. Tích hợp nguồn cấp dữ liệu mối đe dọa trực tiếp từ 15K SOC Teams.
Tổ chức này cho thấy cách một mô hình tống tiền đang phát triển được xây dựng dựa trên sự tin tưởng, thời điểm và các dịch vụ đám mây quen thuộc. Khi một danh tính bị xâm phạm có thể làm lộ các hợp đồng, kế hoạch nội bộ, hồ sơ pháp lý và dữ liệu khách hàng, kho lưu trữ đám mây trở thành cả mục tiêu và điểm áp lực.
Helix cho thấy cách một cuộc gọi điện thoại được chuẩn bị kỹ lưỡng và một mã thiết bị duy nhất có thể mở ra cánh cửa cho một vụ đánh cắp dữ liệu SharePoint âm thầm, quy mô lớn, để lại rất ít dấu vết mã độc cho các đội phản ứng theo dõi. Để phòng ngừa, việc vô hiệu hóa xác thực mã thiết bị, hạn chế quyền truy cập SaaS vào các điểm cuối được quản lý và chặn các tên miền mới đăng ký là những biện pháp phòng thủ hiệu quả nhất.
Nguồn báo cáo từ ReliaQuest cung cấp thông tin chi tiết về các phương thức tấn công và đề xuất biện pháp phòng ngừa.










