Admin
Администратор
Компания CrowdStrike предупредила о новом методе атак вымогательских группировок.
Злоумышленники используют доверенные облачные сервисы для обхода классических средств защиты.
С октября 2025 года группы CORDIAL SPIDER и SNARKY SPIDER проводят быстрые атаки на SaaS-среды, используя голосовой фишинг. Они выдают себя за сотрудников IT-поддержки и убеждают работников перейти на поддельные страницы единого входа. После ввода учётных данных атакующие перехватывают логин, пароль и активные сессионные токены. Для закрепления в скомпрометированных аккаунтах они добавляют собственные устройства многофакторной аутентификации. Затем атакующие стараются скрыть следы взлома, удаляя письма с уведомлениями о подозрительной активности и создавая правила почтового ящика, которые автоматически убирают сообщения со словами вроде «alert», «incident» и «MFA». После закрепления группы ищут в SaaS-платформах документы и сообщения по чувствительным словам, включая «confidential», «SSN», «contracts» и «VPN». Главная цель обеих групп — массовая выгрузка данных из SharePoint, HubSpot, Google Workspace и других облачных сервисов. CrowdStrike подчёркивает, что атаки не связаны с уязвимостями самих SaaS-платформ. Проблемы чаще возникают из-за слабых настроек у клиентов, отсутствия устойчивой к фишингу MFA и слишком широких прав доступа. Для маскировки CORDIAL SPIDER и SNARKY SPIDER используют коммерческие VPN и резидентские прокси, включая Mullvad, Oxylabs, NetNut, 9Proxy, Infatica и NSOCKS.
