Security

Helix, Kelompok Vishing Baru yang Menargetkan Microsoft SharePoint untuk Mencuri Data

Peneliti keamanan siber mengungkap kemunculan kelompok pemerasan data baru bernama Helix yang mengandalkan serangan berbasis identitas untuk mencuri data dari lingkungan Microsoft SharePoint. Kelompok ini memanfaatkan kombinasi voice phishing (vishing), device code phishing, serta penyalahgunaan multi-factor authentication (MFA) untuk memperoleh akses ke akun korban.

Setelah berhasil masuk ke lingkungan Microsoft 365, pelaku dengan cepat mengambil data dari SharePoint sebelum menggunakannya sebagai alat pemerasan terhadap organisasi yang menjadi target.

Serangan Dimulai dari Panggilan Telepon

Menurut hasil penelitian perusahaan keamanan siber ReliaQuest, tahap awal serangan dilakukan melalui vishing.

Pelaku menghubungi karyawan dengan menyamar sebagai:

  • Atasan langsung.
  • Manajer perusahaan.

Dalam beberapa kasus, Helix bahkan menggunakan caller ID spoofing agar nomor telepon yang muncul tampak berasal dari pihak internal perusahaan.

Tujuan utama panggilan tersebut adalah membujuk korban menjalankan proses device code authentication yang sebenarnya memberikan akses kepada pelaku.

Memanfaatkan Device Code Phishing

Alih-alih mencuri kata sandi secara langsung, Helix menggunakan teknik device code phishing.

Melalui metode ini, korban diarahkan untuk memasukkan Device Code pada halaman autentikasi Microsoft yang sah.

Tanpa disadari, tindakan tersebut memberikan otorisasi kepada perangkat yang dikendalikan pelaku sehingga mereka dapat mengakses akun Microsoft 365 milik korban.

Menambahkan Aplikasi MFA untuk Mempertahankan Akses

Setelah berhasil masuk ke akun korban, operator Helix segera melakukan langkah berikutnya dengan:

  • Mendaftarkan aplikasi autentikator MFA baru.
  • Memastikan akses tetap dapat dipertahankan meskipun korban mengganti kata sandi.

Teknik ini membuat pelaku memiliki mekanisme autentikasi tambahan yang tetap sah menurut sistem.

Fokus Mencuri Data SharePoint

ReliaQuest menyebut aktivitas pencurian data dari SharePoint menjadi ciri teknis paling khas dari Helix.

Pelaku melakukan:

  • Enumerasi seluruh situs SharePoint yang dapat diakses.
  • Inventarisasi dokumen menggunakan pencarian otomatis.
  • Pengunduhan data dalam jumlah besar.

Seluruh aktivitas tersebut dijalankan secara otomatis menggunakan:

  • User-Agent python-requests/2.28.1.
  • Infrastruktur yang berasal dari alamat IP tertentu.

Data yang berhasil dicuri kemudian digunakan untuk:

  • Memeras organisasi dengan ancaman publikasi data.
  • Dijual kepada pelaku kejahatan siber lainnya.

Diduga Berhubungan dengan ShinyHunters dan BlackFile

ReliaQuest menilai Helix kemungkinan memiliki keterkaitan dengan kelompok:

  • ShinyHunters
  • BlackFile

meskipun hingga saat ini belum ditemukan bukti yang benar-benar memastikan hubungan tersebut.

Beberapa indikasi yang mendukung dugaan tersebut antara lain:

  • Penggunaan teknik rekayasa sosial yang hampir identik.
  • Target utama berupa lingkungan Microsoft 365.
  • Fokus pada pencurian data SharePoint.
  • Penggunaan registrar domain NICENIC, yang sebelumnya juga digunakan dalam kampanye ShinyHunters.

Selain itu, salah satu alamat IP yang digunakan Helix diketahui berada pada Autonomous System (AS 51852) yang sebelumnya pernah digunakan oleh BlackFile.

Karena BlackFile menghentikan operasinya pada April lalu, ReliaQuest menduga Helix dapat menjadi penerus kelompok tersebut.

Rekomendasi Mitigasi

Untuk mengurangi risiko serangan Helix, ReliaQuest merekomendasikan beberapa langkah keamanan, di antaranya:

  • Menonaktifkan Device Code Authentication apabila tidak diperlukan.
  • Membatasi akses SharePoint hanya dari perangkat yang dikelola organisasi.
  • Memblokir komunikasi dengan domain yang baru didaftarkan.
  • Memantau penambahan aplikasi MFA yang tidak dikenal.
  • Mengawasi aktivitas login Microsoft 365 yang mencurigakan.

Kemunculan Helix menunjukkan bahwa serangan terhadap identitas digital kini semakin menjadi fokus utama pelaku kejahatan siber. Dengan menggabungkan rekayasa sosial melalui panggilan telepon dan penyalahgunaan mekanisme autentikasi resmi Microsoft, pelaku mampu memperoleh akses tanpa harus mencuri kata sandi secara langsung. Organisasi yang menggunakan Microsoft 365 disarankan untuk memperketat kebijakan autentikasi serta meningkatkan edukasi pengguna terhadap ancaman vishing.

Sumber: ReliaQuest

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button