تُحذر تقارير أمنية حديثة من مجموعتي تجارة إلكترونية منظمتين، هما “Cordial Spider” و”Snarky Spider”، تشنان هجمات سريعة وعالية التأثير، تعملان بشكل شبه كامل ضمن بيئات البرمجيات كخدمة (SaaS) وتتركان آثاراً ضئيلة للغاية، مما يشكل تحدياً كبيراً لأنظمة الأمن السيبراني. وتسير هاتان المجموعتان بخطى متسارعة في تنفيذ أنشطة سرقة البيانات والابتزاز، مع تشابه ملحوظ في أساليب العمل.
تُشير التقديرات إلى أن كلتا المجموعتين نشطتان منذ أكتوبر 2025 على الأقل. وتتميز “Snarky Spider” بكونها مجموعة ناطقة بالإنجليزية ولها صلات ببيئة الجريمة الإلكترونية المعروفة باسم “The Com”. وتعتمد المجموعتان في هجماتهما على التصيد الصوتي (vishing) لتوجيه المستخدمين المستهدفين نحو صفحات ويب خبيثة وهمية، بهدف سرقة بيانات الاعتماد.
هجمات “Cordial Spider” و”Snarky Spider” في البيئات السحابية
وفقاً لتقرير صادر عن فريق العمليات المضادة للمتسللين في CrowdStrike، فإن هاتين المجموعتين تتبعان نهجاً استراتيجياً فريداً. ففي غالبية الحالات، تستخدمان التصيد الصوتي لتوجيه المستخدمين المستهدفين إلى صفحات وهمية لانتحال الهوية، حيث يتم التقاط بيانات المصادقة ومن ثم الانتقال مباشرة إلى تطبيقات SaaS المتكاملة مع إدارة الهوية الموحدة (SSO).
من خلال العمل بشكل حصري تقريباً ضمن بيئات SaaS الموثوقة، تقلل هذه المجموعات من بصمتها الرقمية وتسرّع من وقت التأثير. هذا المزيج من السرعة والدقة والنشاط الذي يقتصر على SaaS يخلق تحديات كبيرة لأنظمة الكشف والرؤية لدى المدافعين.
توسع التهديدات وتكتيكات الابتزاز
كشف تقرير سابق نُشر في يناير 2026 عن توسع في نشاط التهديدات، أظهرت فيه مجموعات مثل “Cordial Spider” و”Snarky Spider” تكتيكات تتوافق مع الهجمات الموجهة نحو الابتزاز، والتي تنفذها مجموعات مثل “ShinyHunters”. وتتضمن هذه التكتيكات انتحال صفة موظفي تكنولوجيا المعلومات عبر الهاتف لخداع الضحايا والحصول على بيانات اعتمادهم ورموز المصادقة متعددة العوامل (MFA)، عن طريق توجيههم إلى صفحات تصيد احتيالي.
في الأسبوع الماضي، توصل باحثون من Palo Alto Networks Unit 42 ومركز مشاركة وتحليل المعلومات في قطاع التجزئة والضيافة (RH-ISAC) بثقة معتدلة إلى أن المهاجمين وراء CL-CRI-1116 (اسم آخر لـ Cordial Spider) يرتبطون على الأرجح بـ “The Com”. وأضافوا أن الاختراقات تعتمد بشكل أساسي على تقنيات “العيش خارج الأرض” (LotL)، فضلاً عن استخدام وكلاء شبكة مقاومين لإخفاء موقعهم الجغرافي وتجاوز مرشحات سمعة IP الأساسية.
أساليب التحايل على أنظمة الحماية
يقوم المهاجمون بتسجيل جهاز جديد لتجاوز المصادقة متعددة العوامل (MFA) والحفاظ على الوصول إلى الأنظمة المخترقة. وقبل ذلك، يقومون بإزالة الأجهزة الموجودة، ومن ثم يشرعون في قمع الإشعارات الآلية عبر البريد الإلكتروني المتعلقة بتسجيل الجهاز غير المصرح به، وذلك من خلال تكوين قواعد البريد الإلكتروني التي تحذف هذه الرسائل تلقائياً.
تتضمن المرحلة التالية استهداف الحسابات ذات الامتيازات العالية عبر مزيد من الهندسة الاجتماعية، من خلال كشط أدلة الموظفين الداخلية. بعد الحصول على وصول موسع، يخترق المهاجمون بيئات SaaS المستهدفة بحثاً عن الملفات ذات القيمة العالية والتقارير التجارية الهامة في منصات مثل Google Workspace، HubSpot، Microsoft SharePoint، و Salesforce، ثم يقومون بتسريب البيانات ذات الأهمية إلى بنية تحتية تقع تحت سيطرتهم.
في معظم الحالات المرصودة، تمنح بيانات الاعتماد هذه الوصول إلى موفر الهوية (IdP) الخاص بالمؤسسة، مما يوفر نقطة دخول واحدة إلى العديد من تطبيقات SaaS. ومن خلال إساءة استخدام علاقة الثقة بين موفر الهوية والخدمات المتصلة، يتجنب المهاجمون الحاجة إلى اختراق تطبيقات SaaS الفردية، وبدلاً من ذلك يتحركون بشكل جانبي عبر النظام البيئي بأكمله لتطبيقات SaaS الخاص بالضحية من خلال جلسة مصادقة واحدة.