مجموعات Cybercrime "Cordial Spider" و "Snarky Spider": السرعة القصوى فـ SaaS باش يبتزو الشركات
Cybercrime Groups Using Vishing and SSO Abuse in Rapid SaaS Extortion Attacks
مجموعات Cybercrime "Cordial Spider" و "Snarky Spider": السرعة القصوى فـ SaaS باش يبتزو الشركات
الباحثين فـ Cybersecurity حذروا من جوج مجموعات خطيرة ديال الجريمة الإلكترونية، سميتهم Cordial Spider و Snarky Spider. هاد المجموعات معروفين بالسرعة الخيالية ديالهم فـ هجمات الابتزاز (Extortion). الخدمة ديالهم كاملة تقريبا كتركز على البيئات ديال SaaS، هادشي كيخليهم مباينينش للأنظمة الدفاعية وفي نفس الوقت كيوصلوا لداكشي لي بغاو دغيا. كيخدموا بزاف بـ vishing (Social Engineering عن طريق التيليفون) و Session hijacking باش يتخطاو الـ Security Controls، لدرجة أن شي هجمات كيبداو فيها "خراج الداتا" (data exfiltration) فـ أقل من ساعة من بعد ما دخلوا.
المختصر المفيد (TL;DR)
جوج مجموعات قوية، Cordial Spider و Snarky Spider، كيستهدفوا تطبيقات SaaS لي مرتبطة بـ SSO باستعمال تقنيات vishing و Adversary-in-the-Middle (AiTM). هاد الناس طيارة فـ السرعة—شي مرات كيشفروا الداتا فـ قل من 60 دقيقة—وكيغبروا الأثر ديالهم بـ Manipulation ديال Inbox rules وكيستعملوا residential proxies. باش الشركات فـ المغرب يحميوا راسهم، خاصهم يركزو على phishing-resistant MFA ويراقبوا مزيان أي تسجيل ديال أجهزة جديدة (device registrations) فـ Identity Providers (IdP) ديالهم.
تطور الابتزاز العصري: سريع ودقيق
من شهر أكتوبر 2025، باحثين من CrowdStrike، Mandiant، و Palo Alto Networks Unit 42 متبعين جوج مجموعات كيتشابهوا بزاف: Cordial Spider (لي معروفة بـ BlackFile) و Snarky Spider (لي معروفة بـ UNC6661).
عكس الهجمات التقليدية لي كتحتاج Malware معقدة وبزاف ديال الوقت باش يتحركوا وسط الشبكة الداخلية، هاد المجموعات ملقطين. كيركزوا غير على "Cloud Layer"، وبالضبط منصات SaaS بحال Google Workspace، HubSpot، Microsoft SharePoint، و Salesforce.
ملي كيبقاو وسط هاد البيئات لي أصلا "موثوقة"، هادشي كيدير مشكلة كبيرة فـ الـ Visibility للناس ديال Security. بالنسبة لبزاف ديال الشركات المغربية لي دازوا لـ Remote work وكيخدموا بـ Cloud، هادشي كيعني أن الحماية التقليدية ديال Network مابقاتش كافية ضد هاد التهديدات.
الدخلة الأولى: قوة الـ Vishing و AiTM
الهجوم غالبا كيبدا بـ vishing (Voice Phishing). المهاجمين، وخصوصا Snarky Spider (لي كيهضروا بالإنجليزية كأنها لغتهم الأم)، كيمثلوا أنهم من الـ IT Help Desk. كيعيطوا للموظفين وكيصيدوهم باش يدخلوا لصفحات SSO كاذبة من نوع Adversary-in-the-Middle (AiTM).
ملاحظة تقنية: هجوم AiTM هو نوع من Session hijacking فين المهاجم كيحط راسو وسط المستخدم وبين الخدمة لي باغي يدخل ليها. ملي المستخدم كيدخل المعلومات ديالو و Code MFA فـ الصفحة المزورة، المهاجم كيشفرهم فـ البلاصة (Real-time) وكيدوزهم للخدمة الحقيقية، وهكا كيكون "سرق" الـ session لي خدامة.
بما أن المهاجمين كيشفروا معلومات Authentication فـ اللحظة، كيقدروا يدوزوا نيشان لتطبيقات SaaS لي مرتبطة بـ SSO. وملي كيوصلوا لـ IdP (Identity Provider)—لي هو المركز لي كيتحكم فـ Logins ديال كاع تطبيقات الشركة—كتولي عندهم "نقطة دخول وحدة" باش يتحركوا فـ الـ Cloud Ecosystem ديال الشركة كاملة.
تقنيات التخفي والاستمرار (Persistence)
باش يبقاو مخبيين، هاد المجموعات كيستعملوا تقنيات Living-off-the-Land (LotL) متطورة:
- تخطي MFA عن طريق Device Registration: ملي كيدخلوا، كيمسحوا كاع الأجهزة الموثوقة لي كانت من قبل وكيقيدوا الأجهزة ديالهم. هادشي كيخليهم يبقاو داخلين حتى يلا تبدل Password.
- قمع التنبيهات (Notification Suppression): باش الضحية ميوصلوش ميساج "راه تقيد جهاز جديد"، كيمشيو نيشان يصاوبوا inbox rules كتمسح أوطوماتيكيا أي إيميل جاي من الـ IT أو الـ IdP فيه تنبيهات أمنية.
- تخطي IP Filters: الباحثين لقاو بلي مجموعة CL-CRI-1116 كتستعمل residential proxies. هادشي كيخلي الـ IP ديال المهاجم كيبان بحال إيلا جاي من كونيكسيون عادية ديال الدار ماشي من Data Center، وهكا كيتخطاو الأنظمة لي كيبلوكيو الـ IPs المشبوهة.
من الدخلة حتى لتشفر الداتا فـ 60 دقيقة
السرعة هي أخطر حاجة عند هاد الناس. على حساب التقارير، Snarky Spider تقدر تبدا تخرج الداتا الحساسة (بحال التقارير المالية و Directory ديال الموظفين) فـ قل من ساعة من اللحظة لي دخلوا فيها.
هاد المجموعات عندهم تشابه فـ التكتيك مع مجموعة ShinyHunters، وكاين احتمال كبير يكونوا جزء من منظومة كبيرة ديال الـ E-crime سميتها "The Com". الهدف الأساسي ديالهم هو الابتزاز: كيقلبو على الملفات الغالية فـ SharePoint أو Salesforce وكيطلبوا الفدية باش م ينشروهاش.
كيفاش الفرق التقنية فـ المغرب تقدر تحمي راسها؟
بما أن هاد المجموعات كيستهدفو قطاعات بحال التجارة والفندقة (Retail & Hospitality)، خاص الشركات المغربية تراجع Security ديال SaaS ديالها دابا:
- تطبيق Phishing-Resistant MFA: بعدوا على MFA لي كيعتمد على SMS أو Push notifications، حيت ساهل يتشفر بـ AiTM. استعملوا Hardware security keys بحال Yubikeys أو FIDO2.
- مراقبة Inbox Rules: ديروا Scan دوري باش تشوفوا واش كاين شي Email forwarding أو Auto-deletion rules للأخبار الأمنية.
- مراقبة الـ Identity Providers (IdP): فعلوا Alerts على أي تسجيل جهاز جديد أو تبديل فـ Accounts لي عندهم صلاحيات كبيرة (Privileged accounts).
- تحديد الوصول لـ Employee Directories: ميتعطاش الحق لأي Check عادي باش يدير Export للأرشيف ديال الموظفين، حيت المهاجمين كيحتاجو هاد الداتا فـ Social Engineering.
- مراقبة الـ Logs ديال SaaS: راقبوا أي Download ديال الداتا بشكل غير طبيعي فـ Google Workspace، Salesforce، و HubSpot.
خلاصة
Cordial Spider و Snarky Spider كيمثلوا جيل جديد ديال تهديدات الابتزاز لي مركزة على الـ SaaS. القدرة ديالهم باش يتخطاو MFA ويتحكموا فـ الإيميلات لداخل كتصعب المأمورية على أدوات الحماية القديمة. بالنسبة لـ Sysadmins و Developers فـ المغرب، التركيز خاصو يتحول من حماية "الشبكة" لحماية "الهوية" وتطبيقات SaaS براسها.
المصدر: Cybercrime Groups Using Vishing and SSO Abuse in Rapid SaaS Extortion Attacks
