
Link: https://www.ictbusiness.info / vijesti / helix-cilja-sharepoint
Helix cilja SharePoint
Sigurnosna objava piše o novoj data-extortion skupini Helix koja napade gradi oko identiteta i SharePointa. Prema istraživanju ReliaQuesta, napadači koriste voice phishing, device-code phishing i zloupotrebu višefaktorske autentifikacije kako bi dobili pristup korisničkim računima. Nakon ulaska registriraju novi autentifikatorski mehanizam, pretražuju SharePoint i masovno preuzimaju dokumente koje potom koriste za iznudu.
Ovo je važan pomak u odnosu na stariji ransomware model. Napadači ne moraju nužno šifrirati sustave ako mogu ukrasti dovoljno osjetljive dokumentacije iz kolaboracijskog okruženja i zaprijetiti objavom. SharePoint postaje logična meta jer u mnogim organizacijama sadrži ugovore, financijske materijale, interne dokumente, osobne podatke i projektne datoteke.
Device-code phishing posebno je opasan jer zlorabi legitimne tokove autentifikacije. Korisnik može vjerovati da samo potvrđuje prijavu ili pomaže internom zahtjevu, dok napadač zapravo dobiva pristup računu i može zaobići dio zaštita ako su kontrole slabo postavljene.
Analize identitetskih napada na Microsoft 365 okruženja pokazuju zašto SharePoint i slični alati ostaju privlačna meta. Napadači ne moraju probijati klasični perimetar ako mogu navesti korisnika da odobri pristup, preda token ili prihvati lažnu komunikaciju koja izgleda kao interni dokument. Vishing dodatno povećava uvjerljivost jer koristi glas, pritisak i hitnost, a žrtva često ne vidi da zapravo pomaže napadaču u legitimnom toku prijave.
Za organizacije je ključna promjena u obrani: MFA više nije dovoljan ako se ne prati ponašanje korisnika, lokacija prijave, uređaj, neobične dozvole aplikacija i promjene u dijeljenju dokumenata. SharePoint, OneDrive i Teams često sadrže poslovne planove, ugovore, financijske podatke i interne procedure, pa kompromitacija jednog računa može otvoriti znatno više od pristupa e-pošti.
