「Helix」と呼ばれる新たなデータ強奪集団が、ボイスフィッシング(ビッシング)、デバイスコードフィッシング、多要素認証(MFA)の悪用といったID関連の手口を使い、SharePoint環境からデータを窃取しています。
最初の接触はビッシングによって行われます。あるケースでは、脅威アクターが上司になりすまして従業員に電話をかけ、上司の名前や発信者番号の偽装を使って本物らしく見せかけていました。
その目的は、標的をデバイスコードフィッシングの手口に誘導し、アカウントへのアクセス権を得ることです。
侵入に成功すると、Helixの実行者はまず新しい多要素認証アプリを登録して持続性を確保し、その後SharePointを閲覧・列挙してからファイルを持ち出します。
サイバーセキュリティ企業ReliaQuestの研究者によると、窃取されたデータは通常、公開すると脅して被害組織を恐喝するために使われるか、他のサイバー犯罪者に売却されるとのことです。
このSharePointからのデータ持ち出しの手口こそが、Helixを特徴づける最も有力な技術的痕跡です。
「自動化された列挙と収集の手法はすべての事案で一致しており、これが最も信頼できる特徴です。列挙はpython-requests/2.28.1というユーザーエージェントを使い、179.43.185[.]230から行われていました」と研究者は指摘しています。
「実行者はcontentclass:STS_Siteやワイルドカード(*)を使ったSharePoint検索を行い、アクセス可能なコンテンツをすべて把握した上で、同じIPアドレスとユーザーエージェントから一括ダウンロードを行っていました」
ShinyHuntersおよびBlackFileとの関連
ReliaQuestは、使用されている手口やインフラから、Helixは「ShinyHunters」と「BlackFile」というデータ強奪集団から派生したものと考えていますが、研究者は決定的な繋がりは見つけていません。
過去1カ月の間に、Medtronic、Nissan、NAIC、Kodak、Infinite Campus、そしてNottingham Universityが、以前ShinyHuntersが犯行を主張していたデータ侵害を確認しています。
現在は活動を停止しているBlackFileデータ強奪集団は、ID関連の攻撃とソーシャルエンジニアリングを使って組織を標的にしていましたが、4月に活動を停止しました。
ReliaQuestの調査によると、あるHelixの攻撃では、確認済みのBlackFileのIPアドレスと同じ自律システム(AS 51852)内のデータ持ち出し用IPアドレスが使われており、リソースを共有している可能性を示唆しています。
さらに、BlackFileの活動停止直後にHelixが出現したことも、消滅した組織の活動が継続している可能性を示しているといえます。ReliaQuestは、Pinkや「Redact」も後継組織である可能性があると述べています。
ShinyHuntersとの関連については、Helixはビッシング、従業員へのなりすまし、Microsoft 365を標的にする点、SharePointデータの窃取など、非常に似たソーシャルエンジニアリングの手口を示しています。
もう一つの手がかりは、NICENICというレジストラの使用で、これは過去のShinyHuntersのキャンペーンでも確認されています。
Helixの攻撃に対する最も効果的な防御策として、研究者は可能な限りデバイスコード認証を無効化することを推奨しています。
その他の推奨事項としては、SharePointへのアクセスを管理対象デバイスのみに制限すること、そしてHelixが攻撃で使用することの多い新規登録ドメインとの通信をブロックすることが挙げられます。
攻撃者に先んじて、すべての防御層をテストする
セキュリティチームが検知できている攻撃成功例はわずか54%で、アラートが発生するのはそのうちの14%に過ぎません。残りは環境内を検知されずに移動しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーションによってSIEMおよびEDRのルールをテストし、脅威が検知をすり抜けるのを防ぐ方法を紹介しています。