Helix атакует через вишинг, MFA-обход и эксфильтрацию SharePoint
ReliaQuest раскрыла новую threat group Helix: data extortion через device code phishing и охоту на SharePoint
Специалисты ReliaQuest идентифицировали ранее неизвестную threat group Helix, развернувшую многоцелевую кампанию по data extortion. Группа активно эксплуатирует vishing (voice phishing), device code phishing и automated exfiltration документов из SharePoint, опираясь на shared infrastructure. Появление Helix стало результатом фрагментации экосистемы BlackFile, которая прекратила операции в апреле 2026 года, и пересекается с тактиками ShinyHunters. Перед нами — не изолированный инцидент, а звено эволюционирующей угрозы, где методы, инфраструктура и время операций указывают на преемственность в ландшафте кибервымогательства.
Происхождение Helix: осколки BlackFile и ShinyHunters
После самороспуска BlackFile весной 2026 года образовался ряд групп-преемников, демонстрирующих схожие тактики и инфраструктуру. Helix — одна из них. Используемый группой phishing domain уже фигурировал в предыдущих кампаниях, что прямо указывает на shared infrastructure внутри этой развивающейся экосистемы. Операционные методы Helix практически полностью имитируют почерк предшественников: от выбора целей до инструментов закрепления. Такая преемственность позволяет говорить о том, что участие в текущей data extortion campaign вряд ли является случайным совпадением.
Социальная инженерия и device code phishing: как Helix обходит Conditional Access
Основной вектор атаки нацелен на сотрудников с высокой видимостью. Операторы Helix применяют social engineering для создания убедительного pretext и проводят vishing (voice phishing), в том числе impersonation непосредственного руководителя жертвы. Такой подход существенно повышает вероятность успешной компрометации.
Ключевой технический приём — device code authentication bypass. Эксплуатация этой техники позволяет обойти Conditional Access Policies и захватывать session tokens, предоставляя аутентифицированный доступ к корпоративным ресурсам. Дополнительно группа регистрирует target-specific subdomains для credential harvesting, причём активность строго следует шаблонам, зафиксированным в операциях BlackFile.
Kill chain атаки: от reconnaissance до automated exfiltration из SharePoint
Методология атаки выстроена по структурированной kill chain:
- Reconnaissance. Сбор детальной информации об организации-жертве.
- Initial access. Device code phishing с захватом session tokens для получения authenticated доступа.
- Persistence. Закрепление через новые методы MFA, что значительно затрудняет detection.
- Automated data collection. Применение automated tools для систематической выгрузки библиотек SharePoint.
- Data exfiltration. Инфраструктура, используемая для exfiltration, отделена от инфраструктуры initial access — признак продуманной операционной стратегии.
Dwell times до начала data exfiltration варьируются. Операторы, по всей видимости, предпочитают сохранять низкий профиль в высокоценных средах и лишь затем переходить к Automated data collection.
Меры защиты: отключение device code authentication и domain age filtering
Для противодействия тактикам Helix ReliaQuest рекомендует сосредоточиться на устранении уязвимостей в области IAM и реализовать следующие защитные меры:
- Отключить device code authentication там, где это возможно.
- Ограничить доступ к SaaS-приложениям только managed endpoints.
- Внедрить domain age filtering для блокировки недавно зарегистрированных phishing domains.
- Усилить мониторинг новых методов MFA и аномалий в session token usage.
Срочность этих действий обусловлена тем, что более широкая экосистема data extortion продолжает эволюционировать, а угрозы, основанные на идентификации, становятся всё более адаптивными и труднообнаружимыми.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



