حذّر باحثون في الأمن السيبراني من نشاط مجموعتين إجراميتين جديدتين تنفذان هجمات ابتزاز سريعة وعالية التأثير داخل بيئات SaaS، مع ترك آثار رقمية محدودة للغاية. المجموعتان هما Cordial Spider (المعروفة أيضاً بـ BlackFile وUNC6671) وSnarky Spider (UNC6661)، وقد بدأ نشاطهما منذ أكتوبر 2025، مع ارتباط الأخيرة بمنظومة الجريمة الإلكترونية المعروفة باسم The Com.
التصيّد الصوتي كمدخل للهجوم
تعتمد هذه المجموعات على أسلوب التصيّد الصوتي (Vishing)، حيث يتواصل المهاجمون هاتفياً مع الموظفين مستغلين انتحال شخصية فرق الدعم الفني، ويوجهون الضحايا إلى صفحات تصيّد تحاكي تسجيل الدخول عبر SSO. بهذه الطريقة يتم الاستيلاء على بيانات الاعتماد وأكواد التحقق متعددة العوامل (MFA)، ثم الانتقال مباشرة إلى تطبيقات SaaS المدمجة مع أنظمة الدخول الموحد.
سرعة التنفيذ وصعوبة الكشف
وفقاً لتقرير CrowdStrike، فإن هذه الهجمات تعمل تقريباً حصرياً داخل بيئات SaaS الموثوقة، مما يقلل من البصمة الرقمية ويزيد من سرعة التأثير. مجموعة Snarky Spider على سبيل المثال تبدأ عملية استخراج البيانات خلال أقل من ساعة من الاختراق، ما يجعل اكتشافها أكثر صعوبة. كما أن المهاجمين يستخدمون تقنيات Living-off-the-land (LotL) ووكالات بروكسي سكنية لإخفاء مواقعهم الجغرافية وتجاوز أنظمة تصنيف السمعة المبنية على عناوين IP.
استهداف الحسابات ذات الامتيازات العالية
بعد الاستيلاء على بيانات الدخول، يقوم المهاجمون بتسجيل أجهزة جديدة لتجاوز أنظمة MFA، مع حذف الأجهزة القديمة وإعداد قواعد بريدية لإخفاء إشعارات التسجيل غير المصرح به. المرحلة التالية تتضمن استهداف الحسابات ذات الامتيازات العالية عبر الهندسة الاجتماعية، مثل استخراج أدلة من أدلة الموظفين الداخلية. عند الحصول على وصول موسع، يتم البحث عن ملفات حساسة وتقارير أعمال في منصات مثل Google Workspace وHubSpot وSharePoint وSalesforce، ثم يتم تهريب البيانات إلى بنية تحت سيطرة المهاجمين.
إساءة استخدام العلاقة بين IdP وSaaS
أحد أخطر جوانب هذه الهجمات هو استغلال العلاقة الموثوقة بين مزوّد الهوية (IdP) والتطبيقات المرتبطة به. بمجرد الحصول على جلسة مصادقة واحدة، يمكن للمهاجمين التنقل عبر النظام البيئي الكامل للتطبيقات دون الحاجة لاختراق كل تطبيق على حدة، مما يضاعف من خطورة الهجوم وسرعة انتشاره.
