Auf den Punkt: Helix setzt auf Sprachanrufe und MFA-Bypass statt Malware, um an SharePoint-Anmeldedaten zu gelangen und Daten zu erpressen.
Die Bedrohungsgruppe Helix wendet Identitäts-fokussierte Angriffsmethoden wie Voice-Phishing, Device-Code-Phishing und MFA-Missbrauch an, um Daten aus SharePoint-Umgebungen zu entwenden. Die Gruppe operiert als Erpressungsakteur und richtet sich damit insbesondere gegen Unternehmen mit wertvollen Dokumentenbeständen.
Die neue Bedrohungsgruppe Helix kombiniert klassische Social-Engineering-Techniken mit modernen Authentifizierungsmechanismen. Das Vorgehen beginnt mit Voice-Phishing-Anrufen, bei denen sich Angreifer gegenüber Mitarbeitern als interne oder externe vertrauenswürdige Kontakte ausgeben. Das Ziel ist es, Anmeldedaten oder One-Time-Passcodes zu erlangen.
Parallel nutzt die Gruppe Device-Code-Phishing-Kampagnen, eine Methode, bei der Nutzer auf gefälschten Authentifizierungsseiten aufgefordert werden, Geräte-Codes einzugeben. Dadurch werden OAuth-Token kompromittiert, die Zugriff auf Microsoft 365-Ressourcen gewähren. Ist die MFA-Authentifizierung deaktiviert oder schwach konfiguriert, vereinfacht dies den Eindringlingszugang erheblich.
Für CISOs bedeutet dies ein erhöhtes Risiko bei der Absicherung von Cloud-Speicherlösungen. Helix fokussiert sich auf Umgebungen, in denen Mitarbeiter mit SharePoint arbeiten und dort sensible oder geschäftskritische Daten lagern. Nach erfolgreichem Datenraub erpresst die Gruppe die Unternehmen unter Androhung von Veröffentlichung.
Erforderliche Gegenmaßnahmen umfassen strikte MFA-Richtlinien, Schulungen zum Erkennen von Voice-Phishing und Überwachung auf abnormale Token-Aktivitäten. Darüber hinaus sollten Zugriffsprotokolle auf Massenenladungen aus SharePoint untersucht werden.
Quelle: www.bleepingcomputer.com · Erschienen 9. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.