Napadaci koriste AiTM fišing stranice za pristup SharePoint-u, HubSpot-u i Google Workspace-u
Dve grupe napadača koriste glasovni fišing i AiTM stranice da kompromituju SaaS okruženja i kradu podatke u roku od sati.
Šta se desilo?
Od oktobra 2025. godine, bezbednosni istraživači prate dve grupe napadača - CORDIAL SPIDER i SNARKY SPIDER - koje izvršavaju brze i agresivne napade na SaaS platforme. Ove grupe koriste AiTM (adversary-in-the-middle) fišing stranice zajedno sa voćnim fišingom kako bi preuzele pristupe korporativnim okruženjima, a zatim brzo krenu sa krađom podataka iz SharePoint-a, HubSpot-a i Google Workspace-a.
Koga pogađa?
Ciljna grupa su preduzeća i organizacije bilo koje veličine koja koriste SaaS aplikacije sa integracijom jedinstvene prijave (SSO). Posebno su ugroženi zaposleni koji mogu biti prevareni kroz glasovne pozive, kao i organizacije koje nisu implementirale fišing-otporne oblike multifaktorske autentifikacije (MFA).
Kako se zaštititi?
- Implementirajte fišing-otporne oblike MFA, posebno hardverske sigurnosne ključeve umesto softvera ili SMS-a
- Obučavajte zaposlene da prepoznaju glasovni fišing i nikad ne dele kredencijale preko telefona čak i ako se pozivač predstavlja kao IT podrška
- Omogućite napredne provere autentifikacije koje detektuju neobične obrasce pristupa i geografske anomalije
- Redovno analizirajte registrovane uređaje za MFA i uklonite sumnjive ili nepoznate uređaje
- Postavite pravila u mejlu da automatski filtriraju izlazne poruke sa ključnim rečima kao što su upozorenja, MFA ili sigurnosni incidenti
- Monitorujte i ograničite pristup iz komercijalnih VPN servisa i residential proxy mreža
- Primenite naprednu detekciju anomalija koja prati neobično preuzimanje fajlova i brze pretrage kroz SaaS platforme
Tehnički detalji
Napadači koriste AiTM proxy servere koji presreću kredencijale i aktivne sesije korisnika, a zatim ih prosleđuju legitimnom servisu što znači da korisnici nisu svesni kompromitovanja. Nakon početnog pristupa, napadači odmah manipulišu MFA postavkama tako što uklanjaju postojeće uređaje i registruju svoje (SNARKY SPIDER koristi Android emulatora Genymobile-a, dok CORDIAL SPIDER koristi mobilne uređaje i Windows QEMU). Oba ganoda takođe automatski brišu bezbednosne mejle iz žrtvinih sandučića. Faza ekfiltracije podataka počinje sa ciljanim pretragama (termini kao što su "poverljivo", "SSN", "ugovori", "VPN"), a SNARKY SPIDER može preuzeti masivne količine podataka u roku od manje od jednog sata od inicijalne kompromitacije.
Preporuka Sajber Radara
Organizacije moraju da prioritiziraju implementaciju fišing-otpornih MFA mehanizama i naprednog monitoringa autentifikacionih tokova. Globalni bezbednosni pogled na SaaS okruženja - kombinovan sa alatima za detekciju anomalija - bitno je za identifikovanje i zaustavljanje ovih brzo izvršenih napada pre nego što napadači dostignu vredne podatke.
