사이버범죄 그룹, Vishing 및 SSO 남용을 활용한 신속한 SaaS 갈취 공격
Source: The Hacker News
Ravie Lakshmanan – 2026년 5월 1일
개요
사이버 보안 연구원들은 두 개의 사이버 범죄 조직이 SaaS 환경 내에서 거의 전적으로 빠르고 고효과적인 공격을 수행하고 있으며, 포렌식 흔적을 최소화하고 있다고 경고합니다. 이 캠페인들은 음성 피싱(vishing)을 통해 자격 증명을 탈취하고, SSO와 통합된 SaaS 애플리케이션으로 직접 전환하는 데 초점을 맞추고 있습니다.
위협 행위자
- Cordial Spider (aka BlackFile, CL‑CRI‑1116, O‑UNC‑045, UNC6671)
- Snarky Spider (aka O‑UNC‑025, UNC6661)
두 그룹은 최소 2025년 10월부터 활동해 왔습니다. Snarky Spider는 영어 사용 크루로, 사이버 범죄 생태계 **The Com**와 연계되어 있습니다.
“대부분의 경우, 이들 적은 보이스 피싱(비싱)을 사용해 표적 사용자를 악성, SSO‑테마 적‑중간자(AiTM) 페이지로 유도하고, 여기서 인증 데이터를 탈취한 뒤 SSO와 통합된 SaaS 애플리케이션으로 직접 피벗합니다,”
— CrowdStrike Counter Adversary Operations, Defending Against Cordial Spider and Snarky Spider with Falcon Shield.
공격 방법론
비싱 및 AiTM 피싱
공격자는 비싱 전화를 이용해 IT 헬프데스크 직원을 사칭하고, 피해자를 SSO 포털을 모방한 악성 로그인 페이지로 유도합니다. 자격 증명과 MFA 코드를 탈취하면, 공격자는 다음을 수행합니다:
- 새로운 장치 등록
- 기존 장치 제거
- 알림 이메일을 삭제하는 인박스 규칙을 만들어 알림 이메일 억제
SaaS 전용 운영
“거의 전적으로 신뢰할 수 있는 SaaS 환경 내에서 운영함으로써, 공격자는 발자국을 최소화하고 영향까지의 시간을 가속화합니다. 속도, 정밀성, 그리고 SaaS 전용 활동의 조합은 방어자에게 중대한 탐지 및 가시성 문제를 야기합니다.”
이 그룹은 Google Workspace, HubSpot, Microsoft SharePoint, Salesforce와 같은 고가치 SaaS 플랫폼을 표적으로 삼으며, 특권 접근을 획득한 뒤 비즈니스에 중요한 파일을 유출합니다.
Living‑Off‑the‑Land (LotL) 기법
Palo Alto Networks Unit 42와 Retail & Hospitality ISAC (RH‑ISAC)는 CL‑CRI‑1116 활동을 The Com에 귀속시키며, IP 기반 평판 필터를 회피하기 위해 LotL 도구와 주거용 프록시를 많이 활용한다고 밝혔습니다.
“CL‑CRI‑1116 활동은 2026년 2월부터 소매 및 환대 분야를 적극적으로 표적하고 있으며, 특히 IT 헬프데스크 직원을 사칭하는 비싱 공격과 피싱 로그인 사이트를 결합해 자격 증명을 탈취하고 있습니다,”
— 연구원 Lee Clark, Matt Brady, Cuong Dinh.
탐지 및 대응
- Mandiant (2026년 1월) 은 두 클러스터를 이전에 ShinyHunters 그룹이 수행한 금전 갈취 테마 공격과 연결했습니다.
- ThreatLocker 탐지 예시는 악성 디바이스 등록을 어떻게 식별할 수 있는지 보여줍니다.
Timeline Example
Snarky Spider가 한 시간 이내에 데이터 유출을 시작합니다
Additional Quote
“피해자의 전체 SaaS 생태계 전역을 단일 인증된 세션으로 횡방향 이동한다.”
— CrowdStrike