Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Nowa fala ataków na środowiska chmurowe pokazuje, że cyberprzestępcy coraz częściej omijają klasyczne techniki włamań do stacji roboczych i serwerów. Zamiast tego koncentrują się bezpośrednio na tożsamości użytkownika oraz relacjach zaufania obecnych w usługach SaaS.
W praktyce oznacza to wykorzystanie vishingu, fałszywych stron logowania typu adversary-in-the-middle oraz mechanizmów logowania jednokrotnego SSO do przejęcia sesji i uzyskania dostępu do wielu aplikacji biznesowych jednocześnie. Taki model działania skraca czas od pierwszego dostępu do eksfiltracji danych i znacząco utrudnia wykrycie incydentu.
W skrócie
- Badacze ostrzegają przed grupami Cordial Spider i Snarky Spider, które prowadzą szybkie kampanie kradzieży danych i wymuszeń w środowiskach SaaS.
- Ataki opierają się na vishingu podszywającym się pod help desk IT oraz na fałszywych stronach logowania SSO przechwytujących poświadczenia i kody MFA.
- Po uzyskaniu dostępu napastnicy rejestrują nowe urządzenia, usuwają istniejące, modyfikują reguły pocztowe i ukrywają alerty bezpieczeństwa.
- Intruzi przemieszczają się lateralnie między zintegrowanymi usługami, takimi jak Google Workspace, Microsoft SharePoint, HubSpot czy Salesforce.
- Charakterystyczne dla tych operacji są bardzo wysoka szybkość działania oraz ograniczenie aktywności niemal wyłącznie do zaufanych środowisk SaaS.
Kontekst / historia
Z ujawnionych informacji wynika, że obie grupy są aktywne co najmniej od października 2025 roku. Wcześniejsze analizy łączyły ich taktyki z kampaniami o charakterze wymuszeniowym, w których kluczową rolę odgrywa socjotechnika wymierzona w pracowników organizacji.
W styczniu 2026 roku zwrócono uwagę, że operatorzy podszywają się pod personel IT podczas rozmów telefonicznych. Celem jest nakłonienie ofiar do zalogowania się na spreparowanych portalach oraz do przekazania kodów uwierzytelniania wieloskładnikowego.
W kolejnych miesiącach aktywność była obserwowana szczególnie w sektorach retail i hospitality. Dodatkowe analizy wskazywały, że intruzje wykorzystują techniki living-off-the-land oraz łącza pochodzące z sieci proxy rezydencyjnych, co utrudnia filtrowanie ruchu na podstawie reputacji adresów IP.
Kampanie tego typu wpisują się w szerszy trend przechodzenia od klasycznych ataków malware-centric do operacji identity-centric. Najważniejszym zasobem przestaje być pojedynczy endpoint, a staje się nim konto użytkownika i jego uwierzytelniona sesja.
Analiza techniczna
Schemat ataku rozpoczyna się od kontaktu telefonicznego z pracownikiem. Napastnik, podszywając się pod wsparcie IT, buduje presję i wiarygodność, a następnie kieruje ofiarę na fałszywą stronę logowania SSO.
Taka witryna działa jako pośrednik typu adversary-in-the-middle, przechwytując nazwę użytkownika, hasło, a często także kod MFA. Jeżeli organizacja opiera dostęp do wielu usług na jednym dostawcy tożsamości, przejęcie tych danych daje atakującemu pojedynczy punkt wejścia do całego ekosystemu SaaS.
Po udanym logowaniu operatorzy rejestrują nowe urządzenie w celu utrzymania dostępu i obejścia istniejących mechanizmów MFA. Przed lub po tej operacji mogą usuwać już powiązane urządzenia, co ogranicza możliwość szybkiego odzyskania kontroli przez legalnego użytkownika.
Następnie modyfikowane są reguły skrzynki pocztowej, aby automatycznie usuwać wiadomości dotyczące rejestracji nowego urządzenia lub innych alertów bezpieczeństwa. To krytyczny etap, ponieważ redukuje szansę, że ofiara zauważy nietypową aktywność.
Kolejna faza obejmuje rozpoznanie wewnętrzne. Napastnicy przeszukują katalogi pracowników i identyfikują konta uprzywilejowane, które mogą otworzyć drogę do szerszego dostępu administracyjnego.
Po eskalacji uprawnień przemieszczają się między aplikacjami zintegrowanymi z dostawcą tożsamości, wykorzystując istniejące relacje zaufania zamiast atakować każdą usługę oddzielnie. W praktyce pozwala to bardzo szybko uzyskać dostęp do dokumentów, raportów biznesowych, danych klientów oraz zasobów operacyjnych przechowywanych w wielu platformach chmurowych.
Istotnym elementem tej techniki jest minimalny ślad operacyjny. Zamiast wdrażać złośliwe oprogramowanie na endpointach, sprawcy wykonują większość działań wewnątrz legalnych usług, używając poprawnych mechanizmów logowania i standardowych funkcji administracyjnych.
Z perspektywy zespołów SOC oznacza to trudniejsze odróżnienie aktywności przestępczej od legalnej pracy użytkownika, szczególnie jeśli organizacja nie monitoruje zachowań tożsamości, nowych rejestracji urządzeń oraz nietypowych przepływów danych w SaaS.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem takich ataków jest szybka eksfiltracja danych i możliwość wymuszenia finansowego bez konieczności wdrażania ransomware w tradycyjnym rozumieniu. Jeżeli napastnik uzyska dostęp do dokumentów strategicznych, baz klientów, danych finansowych lub materiałów objętych tajemnicą handlową, organizacja staje przed ryzykiem szantażu, naruszenia poufności i konsekwencji regulacyjnych.
Drugim kluczowym ryzykiem jest ograniczona widoczność incydentu. Ponieważ operacje odbywają się w ramach legalnych kont i zaufanych aplikacji, standardowe narzędzia bezpieczeństwa punktów końcowych mogą nie wykazać niczego podejrzanego. Jeśli dodatkowo alerty e-mail są kasowane automatycznie, czas detekcji znacząco rośnie, a to zwiększa skalę strat.
Trzecim problemem jest efekt domina wynikający z architektury SSO. Kompromitacja jednego konta w dostawcy tożsamości może otworzyć dostęp do wielu systemów bez konieczności ponownego uwierzytelniania. W praktyce oznacza to, że pojedynczy błąd użytkownika lub skuteczny vishing może przełożyć się na pełnoskalowy incydent obejmujący znaczną część środowiska chmurowego.
Rekomendacje
Organizacje powinny traktować dostawcę tożsamości oraz konfigurację SSO jako zasoby o krytycznym znaczeniu biznesowym. Konieczne jest wdrożenie monitoringu skoncentrowanego na tożsamości, obejmującego wykrywanie nowych rejestracji urządzeń, zmian metod MFA, nietypowych logowań, anomalii geograficznych oraz nagłych wzrostów dostępu do wielu aplikacji SaaS w krótkim czasie.
Niezbędne jest także ograniczenie skuteczności vishingu. Pracownicy powinni być szkoleni, że personel IT nie prosi telefonicznie o podawanie kodów MFA ani o logowanie do systemów z linków przekazanych w trakcie rozmowy.
Warto wdrożyć procedurę callback verification, czyli obowiązek przerwania rozmowy i oddzwonienia na oficjalny numer wsparcia publikowany w firmowych kanałach. Taki prosty mechanizm może znacząco ograniczyć skuteczność socjotechniki.
W obszarze technicznym należy rozważyć silniejsze metody uwierzytelniania odporne na phishing, w szczególności klucze sprzętowe i standardy oparte na FIDO2/WebAuthn. Równolegle trzeba wzmocnić ochronę skrzynek pocztowych administratorów i użytkowników uprzywilejowanych, monitorować reguły automatycznego usuwania wiadomości oraz alertować o ich tworzeniu lub modyfikacji.
Dobrą praktyką jest także segmentacja dostępu do aplikacji SaaS oraz ograniczanie przywilejów zgodnie z zasadą least privilege. Konta uprzywilejowane powinny być odseparowane od codziennej pracy, a dostęp do krytycznych systemów powinien wymagać dodatkowych warunków, takich jak urządzenie zarządzane, zgodność z polityką bezpieczeństwa oraz podwyższony poziom uwierzytelnienia.
Z perspektywy reagowania na incydenty organizacje powinny przygotować scenariusze obejmujące kompromitację IdP i SSO. Plan powinien zawierać szybkie unieważnianie sesji, reset metod MFA, przegląd rejestracji urządzeń, analizę reguł skrzynek pocztowych, audyt dostępu do danych w usługach SaaS oraz ocenę zakresu eksfiltracji.
Podsumowanie
Ataki wykorzystujące vishing, strony AiTM oraz nadużycia mechanizmów SSO pokazują, że współczesne kampanie wymuszające coraz częściej koncentrują się na tożsamości zamiast na klasycznym malware. Model ten pozwala przestępcom działać szybko, dyskretnie i z dużą skutecznością w środowiskach SaaS.
Dla obrońców oznacza to konieczność przesunięcia ciężaru ochrony w stronę bezpieczeństwa tożsamości, monitoringu aktywności w chmurze oraz procedur odpornych na socjotechnikę. W praktyce to właśnie odporność organizacji na przejęcie konta staje się dziś jednym z najważniejszych elementów cyberbezpieczeństwa.
Źródła
- The Hacker News — https://thehackernews.com/2026/05/cybercrime-groups-using-vishing-and-sso.html
- CrowdStrike: Counter Adversary Operations — https://www.crowdstrike.com/
- Mandiant — https://www.mandiant.com/
- RH-ISAC — https://rhisac.org/