Cordial Spider und Snarky Spider: Schnelle Erpressung allein in SaaS-Umgebungen

Zusammenfassung

Sicherheitsforscher warnen vor zwei Cybercrime-Gruppen, die mit hohem Tempo Daten stehlen und Opfer erpressen, dabei aber fast ausschließlich innerhalb von SaaS-Umgebungen agieren und nur minimale Spuren hinterlassen. Die beiden Cluster tragen die Bezeichnungen Cordial Spider (auch BlackFile, CL-CRI-1116, O-UNC-045 und UNC6671) sowie Snarky Spider (auch O-UNC-025 und UNC6661). Beide Gruppen sind nach Einschätzung der Forscher mindestens seit Oktober 2025 aktiv und weisen auffällige Übereinstimmungen in ihrer Vorgehensweise auf. Snarky Spider gilt als englischsprachige Gruppe mit Verbindungen zum kriminellen Ökosystem The Com. Laut einem Bericht von CrowdStrikes Counter Adversary Operations setzen die Angreifer in den meisten Fällen Voice-Phishing (Vishing) ein, um anvisierte Nutzer auf bösartige, als Single-Sign-on getarnte Adversary-in-the-Middle-Seiten (AiTM) zu locken. Dort fangen sie Anmeldedaten ab und dringen direkt in SSO-angebundene SaaS-Anwendungen ein. Indem sie nahezu ausschließlich in vertrauenswürdigen SaaS-Umgebungen operieren, halten sie ihre Spuren klein und verkürzen zugleich die Zeit bis zum Schaden – was die Erkennung für Verteidiger deutlich erschwert.

Bereits in einem im Januar 2026 veröffentlichten Bericht hatte das zu Google gehörende Mandiant beschrieben, dass die beiden Cluster eine Ausweitung von Aktivitäten darstellen, deren Taktiken zu den erpressungsorientierten Angriffen der Gruppe ShinyHunters passen. Dabei geben sich die Täter in Anrufen als IT-Mitarbeiter aus, täuschen ihre Opfer und bringen sie über Phishing-Seiten dazu, Zugangsdaten und Codes zur Multi-Faktor-Authentifizierung (MFA) preiszugeben.

Erst kürzlich kamen Palo Alto Networks Unit 42 und das Retail & Hospitality Information Sharing and Analysis Center (RH-ISAC) mit mittlerer Zuversicht zu dem Schluss, dass die Angreifer hinter CL-CRI-1116 höchstwahrscheinlich ebenfalls mit The Com in Verbindung stehen. Die Einbrüche stützten sich vor allem auf sogenannte Living-off-the-Land-Techniken (LotL) und nutzten Residential-Proxys, um den Standort zu verschleiern und einfache IP-basierte Reputationsfilter zu umgehen. Laut den Forschern Lee Clark, Matt Brady und Cuong Dinh zielt die CL-CRI-1116-Aktivität seit Februar 2026 gezielt auf den Einzelhandels- und Gastgewerbesektor und kombiniert dabei Vishing-Angriffe, bei denen sich die Täter als IT-Helpdesk-Personal ausgeben, mit Phishing-Anmeldeseiten zum Diebstahl von Zugangsdaten.

Um die MFA zu umgehen und den Zugang zu kompromittierten Konten zu sichern, registrieren beide Gruppen ein neues Gerät – zuvor entfernen sie jedoch bereits vorhandene Geräte. Anschließend unterdrücken die Angreifer automatische E-Mail-Benachrichtigungen über die unautorisierte Geräteregistrierung, indem sie Postfachregeln einrichten, die solche Nachrichten automatisch löschen.

Im nächsten Schritt nehmen die Täter über weitere Social-Engineering-Angriffe hochprivilegierte Konten ins Visier, wofür sie interne Mitarbeiterverzeichnisse auslesen. Mit den erweiterten Rechten durchsuchen sie SaaS-Umgebungen nach wertvollen Dateien und geschäftskritischen Berichten in Google Workspace, HubSpot, Microsoft SharePoint und Salesforce und schleusen die interessierenden Daten zu einer von ihnen kontrollierten Infrastruktur aus.

In den meisten beobachteten Fällen verschaffen die gestohlenen Zugangsdaten laut CrowdStrike Zugriff auf den Identity Provider (IdP) der Organisation und damit einen einzigen Einstiegspunkt in mehrere SaaS-Anwendungen. Durch den Missbrauch der Vertrauensbeziehung zwischen dem IdP und den angebundenen Diensten müssen die Angreifer keine einzelnen SaaS-Apps mehr kompromittieren, sondern bewegen sich mit einer einzigen authentifizierten Sitzung quer durch das gesamte SaaS-Ökosystem des Opfers.

Cordial Spider und Snarky Spider: Schnelle Erpressung allein in SaaS-Umgebungen

Ähnliche Artikel

Neueste Artikel