Helix атакует через вишинг, MFA-обход и эксфильтрацию SharePoint

ReliaQuest раскрыла новую threat group Helix: data extortion через device code phishing и охоту на SharePoint

Специалисты ReliaQuest идентифицировали ранее неизвестную threat group Helix, развернувшую многоцелевую кампанию по data extortion. Группа активно эксплуатирует vishing (voice phishing), device code phishing и automated exfiltration документов из SharePoint, опираясь на shared infrastructure. Появление Helix стало результатом фрагментации экосистемы BlackFile, которая прекратила операции в апреле 2026 года, и пересекается с тактиками ShinyHunters. Перед нами — не изолированный инцидент, а звено эволюционирующей угрозы, где методы, инфраструктура и время операций указывают на преемственность в ландшафте кибервымогательства.

Происхождение Helix: осколки BlackFile и ShinyHunters

После самороспуска BlackFile весной 2026 года образовался ряд групп-преемников, демонстрирующих схожие тактики и инфраструктуру. Helix — одна из них. Используемый группой phishing domain уже фигурировал в предыдущих кампаниях, что прямо указывает на shared infrastructure внутри этой развивающейся экосистемы. Операционные методы Helix практически полностью имитируют почерк предшественников: от выбора целей до инструментов закрепления. Такая преемственность позволяет говорить о том, что участие в текущей data extortion campaign вряд ли является случайным совпадением.

Социальная инженерия и device code phishing: как Helix обходит Conditional Access

Основной вектор атаки нацелен на сотрудников с высокой видимостью. Операторы Helix применяют social engineering для создания убедительного pretext и проводят vishing (voice phishing), в том числе impersonation непосредственного руководителя жертвы. Такой подход существенно повышает вероятность успешной компрометации.

Ключевой технический приём — device code authentication bypass. Эксплуатация этой техники позволяет обойти Conditional Access Policies и захватывать session tokens, предоставляя аутентифицированный доступ к корпоративным ресурсам. Дополнительно группа регистрирует target-specific subdomains для credential harvesting, причём активность строго следует шаблонам, зафиксированным в операциях BlackFile.

Kill chain атаки: от reconnaissance до automated exfiltration из SharePoint

Методология атаки выстроена по структурированной kill chain:

  • Reconnaissance. Сбор детальной информации об организации-жертве.
  • Initial access. Device code phishing с захватом session tokens для получения authenticated доступа.
  • Persistence. Закрепление через новые методы MFA, что значительно затрудняет detection.
  • Automated data collection. Применение automated tools для систематической выгрузки библиотек SharePoint.
  • Data exfiltration. Инфраструктура, используемая для exfiltration, отделена от инфраструктуры initial access — признак продуманной операционной стратегии.

Dwell times до начала data exfiltration варьируются. Операторы, по всей видимости, предпочитают сохранять низкий профиль в высокоценных средах и лишь затем переходить к Automated data collection.

Меры защиты: отключение device code authentication и domain age filtering

Для противодействия тактикам Helix ReliaQuest рекомендует сосредоточиться на устранении уязвимостей в области IAM и реализовать следующие защитные меры:

  • Отключить device code authentication там, где это возможно.
  • Ограничить доступ к SaaS-приложениям только managed endpoints.
  • Внедрить domain age filtering для блокировки недавно зарегистрированных phishing domains.
  • Усилить мониторинг новых методов MFA и аномалий в session token usage.

Срочность этих действий обусловлена тем, что более широкая экосистема data extortion продолжает эволюционировать, а угрозы, основанные на идентификации, становятся всё более адаптивными и труднообнаружимыми.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: