Забудьте о медленных, выматывающих атаках с использованием программ-вымогателей прошлых лет. Ландшафт угроз трансформируется, и быстро. Две разные киберпреступные организации, названные Cordial Spider и Snarky Spider, проводят молниеносные кампании по краже данных и вымогательству, работая почти исключительно в доверенных рамках сред Software-as-a-Service (SaaS). Их операционный план лаконичен, следы исчезающе тонкие, что представляет собой непростую задачу для защитников, привыкших к более традиционным методам вторжения. Обе группы активны как минимум с октября 2025 года, при этом Snarky Spider, англоговорящая организация, имеет связи с печально известным коллективом e-crime, известным как The Com.
Суть их методологии пугающе эффективна: мощный коктейль из голосового фишинга (вишинга) и злоупотребления единым входом (SSO). Злоумышленники инициируют контакт по телефону, выдавая себя за службу поддержки IT, чтобы заставить целевых пользователей посетить вредоносные страницы с темой SSO, известные как adversary-in-the-middle (AiTM). Именно там, в этой цифровой преисподней, осуществляется кража аутентификационных данных, что даёт прямой доступ к SaaS-приложениям, интегрированным с SSO. Результат? Злоумышленники получают прямой доступ к сетям жертв, минуя традиционные периметры защиты. Как точно подметили специалисты CrowdStrike из Counter Adversary Operations: «Работая почти исключительно в доверенных SaaS-средах, они минимизируют свой след, одновременно ускоряя время до воздействия».
Это не просто инкрементное изменение; это значительная эволюция векторов атак. Отчет Mandiant за январь 2026 года выделил эти кластеры как расширение тактик, аналогичных тем, что использует группа ShinyHunters, известная своими атаками с целью вымогательства. Модус операнди включает в себя выдачу себя за IT-персонал — классический троп социальной инженерии, но возведенный в ранг за счет скорости и технической изощренности, с которой он выполняется. Жертв не просто обманывают; их направляют, злоумышленники активно подводят их к фишинговым страницам входа, предназначенным для сбора как учетных данных, так и, что критически важно, кодов многофакторной аутентификации (MFA).
Почему это важно для SaaS-сред?
Последствия для организаций, сильно зависящих от SaaS-приложений, глубоки. Эти атаки разработаны для обхода, а не противостояния существующим уровням безопасности. Они эксплуатируют внутренние механизмы доверия в облачных сервисах, превращая легитимный доступ пользователей в ворота для компрометации. Скорость вызывает особую тревогу. Отчеты показывают, что Snarky Spider может начать эксфильтрацию данных менее чем за час после первоначального компрометации. Это быстрое окно выполнения оставляет командам безопасности драгоценно мало времени для обнаружения, не говоря уже об устранении последствий.
Исследователи также связали CL-CRI-1116, обозначение, связанное с Cordial Spider, с розничным и гостиничным секторами с февраля 2026 года. Их вторжения сильно опираются на техники «жизни за счет земли» (living-off-the-land, LotL), используя легитимные системные инструменты, уже присутствующие на скомпрометированных машинах, для избежания обнаружения. Добавляя еще один уровень маскировки, они часто используют резидентные прокси. Эта стратегия помогает скрыть их истинное географическое происхождение и позволяет им обходить базовые механизмы блокировки на основе репутации IP-адресов.
То, что следует за первоначальной кражей учетных данных, — это мастер-класс по эскалации привилегий и эксфильтрации данных. Злоумышленники не просто получают доступ; они активно работают над его сохранением и подавлением любых тревожных сигналов. Распространенная тактика включает регистрацию нового устройства для обхода MFA, но критически важно, что они сначала удаляют любые существующие устройства. Затем следуют настройки правил почтового ящика для автоматического удаления любых автоматических уведомлений по электронной почте, связанных с несанкционированной регистрацией устройства. Тишина — их союзник.
Следующий этап — где начинается реальное извлечение ценности. Используя собранные внутренние каталоги сотрудников, они занимаются дальнейшей социальной инженерией, нацеливаясь на учетные записи с высокими привилегиями. После получения повышенного доступа злоумышленники перемещаются по SaaS-средам, таким как Google Workspace, HubSpot, Microsoft SharePoint и Salesforce, тщательно ища высокоценные файлы и отчеты, имеющие решающее значение для бизнеса. Затем данные, представляющие интерес, эксфильтруются на их собственную инфраструктуру.
«В большинстве наблюдаемых случаев эти учетные данные предоставляют доступ к поставщику удостоверений (IdP) организации, предоставляя единую точку входа во множество SaaS-приложений. Злоупотребляя доверительными отношениями между IdP и подключенными сервисами, злоумышленники обходят необходимость компрометации отдельных SaaS-приложений и вместо этого перемещаются по всей SaaS-экосистеме жертвы с одной аутентифицированной сессией».
Эта цитата из CrowdStrike бьет в самую суть проблемы. Злоумышленники не просто взламывают отдельные приложения; они компрометируют сами ключи от королевства — поставщика удостоверений (IdP). Эта единая точка компрометации позволяет им перемещаться по всей SaaS-экосистеме, рассматривая ее как единое, взаимосвязанное целое. Это суровое напоминание о том, что прочность вашей облачной безопасности зависит не только от защиты отдельных приложений, но и от целостности вашего центрального управления идентификацией.
Динамика рынка здесь ясна: по мере того, как организации все больше внедряют SaaS для повышения эффективности, поверхность атаки расширяется и смещается. Злоумышленники следуют за данными, а данные все чаще находятся в этих облачных платформах. Изощренность вишинга в сочетании с повсеместным использованием SSO создает уязвимость, которую эти угрозы умело эксплуатируют. Это высокоскоростной подход с низким уровнем следов, который требует такой же гибкости и предусмотрительности от средств кибербезопасности.
Достаточны ли традиционные средства защиты?
Честно говоря, нет. Опора на обнаружение на основе сигнатур или даже многие системы обнаружения аномалий, вероятно, будут испытывать трудности с противниками, которые действуют в пределах доверенных границ приложений, используя легитимные инструменты и учетные данные. Фокус должен сместиться на надежное управление идентификацией и доступом (IAM), непрерывный мониторинг поведения пользователей и сущностей в SaaS-приложениях, а также на улучшенное обучение осведомленности о фишинге, которое конкретно затрагивает тактики вишинга. Организации должны исходить из предположения о компрометации и строить устойчивость.
Интеграция вишинга со злоупотреблением SSO представляет собой значительный тактический скачок для киберпреступных групп, нацеленных на SaaS. Это не просто кража учетных данных; это использование доверия и скорости в качестве оружия. Данные подтверждают наличие явной и непосредственной опасности, требующей немедленного внимания со стороны руководителей по безопасности и IT-отделов по всему миру.
Ключевые выводы
- Две группы киберпреступников, Cordial Spider и Snarky Spider, используют быстрые, высокоэффективные атаки в SaaS-средах.
- Их основная тактика включает вишинг для обмана пользователей, чтобы они посетили вредоносные фишинговые страницы с темой SSO.
- Компрометированные учетные данные SSO предоставляют злоумышленникам доступ ко всему SaaS-экосистеме через поставщика удостоверений (IdP).
- Злоумышленники действуют быстро, часто эксфильтрируя данные в течение часа и подавляя оповещения об обнаружении.
- Традиционные меры безопасности могут оказаться недостаточными против этих скрытных, ориентированных на скорость вторжений.
🧬 Связанные аналитические материалы
- Читать далее: Дядя Сэм становится Охотником за привидениями для мошенников Юго-Восточной Азии: достаточно ли этого?
- Читать далее: Бэкдоры ShareFile, руткиты для Android и предупреждения ФБР: внутри бюллетеня ThreatsDay на этой неделе
Часто задаваемые вопросы
Что такое вишинг-атаки? Вишинг, или голосовой фишинг, — это тип атаки социальной инженерии, при которой преступники используют телефонные звонки, чтобы обмануть жертв и заставить их раскрыть конфиденциальную информацию, такую как финансовые данные или учетные данные для входа, или убедить их предпринять действия, которые выгодны злоумышленнику.
Как киберпреступники злоупотребляют SSO? Киберпреступники злоупотребляют единым входом (SSO), сначала получая действительные учетные данные пользователя, часто через фишинг или вишинг. Получив эти учетные данные, они могут получить доступ к порталу SSO и, как следствие, ко всем подключенным SaaS-приложениям, использующим этот SSO для аутентификации, часто без необходимости компрометации каждого приложения по отдельности.
Что такое техники «жизни за счет земли» (LotL)? «Жизнь за счет земли» (LotL) относится к типу кибератаки, при которой злоумышленники используют легитимные, предварительно установленные инструменты и приложения, уже присутствующие в целевой системе, для выполнения вредоносных действий. Это делает их действия труднее отличимыми от обычных системных операций, тем самым избегая обнаружения программным обеспечением безопасности, которое обычно отслеживает вредоносные исполняемые файлы.
