网络犯罪组织利用语音钓鱼和 SSO 滥用进行快速 SaaS 勒索攻击
Source: The Hacker News
Ravie Lakshmanan – 2026年5月1日
概览
网络安全研究人员警告称,两个网络犯罪组织几乎完全在 SaaS 环境中进行 快速、高影响力的攻击,留下的取证痕迹极少。攻击活动侧重于语音钓鱼(vishing)以窃取凭证,并直接渗透到集成了 SSO 的 SaaS 应用程序中。
威胁行为者
- Cordial Spider(别名 BlackFile、CL‑CRI‑1116、O‑UNC‑045、UNC6671)
- Snarky Spider(别名 O‑UNC‑025、UNC6661)
两个组织自 2025 年 10 月起即活跃。Snarky Spider 是一个使用英语的团队,关联于电子犯罪生态系统 The Com。
“在大多数情况下,这些对手使用语音钓鱼(vishing)将目标用户引导至恶意的、以单点登录(SSO)为主题的对手中间人(AiTM)页面,在那里他们捕获身份验证数据并直接渗透到集成了 SSO 的 SaaS 应用中,”
— CrowdStrike 反对手行动部队,《使用 Falcon Shield 防御 Cordial Spider 与 Snarky Spider》。
攻击方法论
Vishing 与 AiTM 钓鱼
攻击者使用 vishing 电话冒充 IT 帮助台人员,诱导受害者访问模仿 SSO 门户的恶意登录页面。获取凭证和 MFA 代码后,攻击者会:
- 注册新设备
- 移除已有设备
- 通过创建收件箱规则删除此类警报,从而抑制通知邮件
仅限 SaaS 的运营
“通过几乎完全在受信任的 SaaS 环境中运作,他们将自身足迹降至最低,同时加快了影响的时间。速度、精准度与仅限 SaaS 的活动相结合,为防御者带来了显著的检测和可视性挑战。”
这些组织针对高价值的 SaaS 平台——Google Workspace、HubSpot、Microsoft SharePoint 和 Salesforce——在获取特权访问后,外泄业务关键文件。
Living‑Off‑the‑Land(LotL)技术
Palo Alto Networks Unit 42 与零售与酒店业信息共享与分析中心(RH‑ISAC)将 CL‑CRI‑1116 活动归因于 The Com,指出其高度依赖 LotL 工具和住宅代理,以规避基于 IP 的声誉过滤。
“自 2026 年 2 月以来,CL‑CRI‑1116 活动一直在积极针对零售和酒店业,特别是利用冒充 IT 帮助台人员的 vishing 攻击,结合钓鱼登录站点来窃取凭证,”
— 研究员 Lee Clark、Matt Brady 与 Cuong Dinh。
检测与响应
- Mandiant(2026年1月) 将这两个集群关联到之前在 ShinyHunters 组织中看到的勒索主题攻击。
- ThreatLocker 检测示例展示了如何识别恶意设备注册。
时间线示例
Snarky Spider 在不到一小时内开始数据外泄
“d 在受害者的整个 SaaS 生态系统中横向移动,只需一次已认证的会话。”
— CrowdStrike