Lühidalt: Helix kasutab pahavara asemel häälkõnesid ja MFA mööda hiilimist, et hankida SharePointi sisselogimisandmeid ja andmeid väljapressimiseks kasutada.
Ohurühmitus Helix kasutab identiteedile keskenduvaid ründemeetodeid, nagu häälpüük (voice phishing), seadmekoodipõhine andmepüük (device-code phishing) ja MFA väärkasutus, et varastada andmeid SharePointi keskkondadest. Rühmitus tegutseb väljapressijana ning suunab oma ründed eelkõige ettevõtete vastu, kellel on väärtuslikud dokumendikogud.
Uus ohurühmitus Helix ühendab klassikalised sotsiaalinseneri võtted kaasaegsete autentimismehhanismidega. Rünnak algab häälpüügikõnedega, mille käigus ründajad esinevad töötajate ees sise- või välispartneri usaldusväärse kontaktisikuna. Eesmärk on hankida sisselogimisandmed või ühekordsed paroolikoodid.
Paralleelselt kasutab rühmitus seadmekoodipõhiseid andmepüügikampaaniaid — meetodit, mille puhul kasutajaid suunatakse võltsitud autentimislehtedele, kus neil palutakse sisestada seadmekood. Nii kompromiteeritakse OAuth-load, mis annavad juurdepääsu Microsoft 365 ressurssidele. Kui MFA on välja lülitatud või nõrgalt seadistatud, muudab see sissetungijate juurdepääsu oluliselt lihtsamaks.
Ettevõtete infoturbejuhtidele (CISO) tähendab see suuremat riski pilvepõhiste andmehoiulahenduste kaitsmisel. Helix keskendub keskkondadele, kus töötajad kasutavad SharePointi ning hoiavad seal tundlikke või äritegevuse jaoks kriitilisi andmeid. Pärast andmete edukat varastamist pressib rühmitus ettevõtteid välja, ähvardades andmed avalikustada.
Vajalikud vastumeetmed hõlmavad ranget MFA-poliitikat, koolitusi häälpüügi äratundmiseks ning ebatavalise loamärgi (token) aktiivsuse jälgimist. Lisaks tuleks kontrollida juurdepääsulogisid SharePointist toimuvate masslaadimiste suhtes.
Allikas: www.bleepingcomputer.com · Avaldatud 9. juulil 2026
Lumi AI News — tehisintellekti abiga kureeritud vastavalt tehisintellektimääruse artiklile 50. Parafraseerimine ja klassifitseerimine Lumi uudistetoru v1.7.3 abil.