🌟 Atualização imperdível para quem gosta de estar bem informado!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os investigadores de segurança cibernética alertam para dois grupos de crimes cibernéticos que estão a realizar “ataques rápidos e de alto impacto” operando quase dentro dos limites dos ambientes SaaS, deixando vestígios mínimos das suas ações.
Os clusters, Cordial Spider (também conhecido como BlackFile, CL-CRI-1116, O-UNC-045 e UNC6671) e Snarky Spider (também conhecido como O-UNC-025 e UNC6661), foram atribuídos a campanhas de extorsão e roubo de dados em alta velocidade que compartilham um notável grau de semelhanças operacionais. Ambos os grupos de hackers são avaliados como ativos desde pelo menos outubro de 2025, sendo o último uma equipe nativa de língua inglesa que compartilha laços com o ecossistema do crime eletrônico conhecido como The Com.
“Na maioria dos casos, esses adversários usam phishing de voz (vishing) para direcionar os usuários-alvo para páginas maliciosas de adversário no meio (AiTM) com tema SSO, onde capturam dados de autenticação e se direcionam diretamente para aplicativos SaaS integrados ao SSO”, disse o Counter Adversary Operations da CrowdStrike em um relatório.
“Ao operar quase exclusivamente em ambientes SaaS confiáveis, eles minimizam sua pegada e aceleram o tempo de impacto. A combinação de velocidade, precisão e atividade somente SaaS cria desafios significativos de detecção e visibilidade para os defensores.”
Em um relatório publicado em janeiro de 2026, a Mandiant, de propriedade do Google, revelou que os dois clusters representam uma expansão na atividade de ameaças que emprega táticas consistentes com ataques com tema de extorsão realizados pelo grupo ShinyHunters. Isso envolve se passar por equipe de TI em chamadas para enganar as vítimas e obter suas credenciais e códigos de autenticação multifator (MFA), direcionando-as para páginas de phishing.
Snarky Spider começa a exfiltração em menos de uma hora
Na semana passada, a Unidade 42 da Palo Alto Networks e o Centro de Compartilhamento e Análise de Informações de Varejo e Hospitalidade (RH-ISAC) avaliaram com confiança moderada que os invasores por trás do CL-CRI-1116 também estão provavelmente associados ao The Com, acrescentando que as invasões dependem principalmente de técnicas de vida fora da terra (LotL), bem como utilizam proxies residenciais para ocultar sua localização geográfica e contornar filtros básicos de reputação baseados em IP.
“A atividade CL-CRI-1116 tem visado ativamente o espaço de varejo e hospitalidade desde fevereiro de 2026, aproveitando especificamente ataques de vishing que se fazem passar por pessoal de suporte técnico de TI em combinação com sites de login de phishing para roubar credenciais”, disseram os pesquisadores Lee Clark, Matt Brady e Cuong Dinh.
Sabe-se que os ataques montados pelos dois grupos registam um novo dispositivo, a fim de contornar o MFA e manter o acesso ao acesso comprometido - mas não antes de remover os dispositivos existentes - após o que os agentes da ameaça agem para suprimir notificações automatizadas por e-mail relacionadas com o registo de dispositivos não autorizados, configurando regras de caixa de entrada que eliminam automaticamente tais mensagens.
A próxima etapa envolve direcionar-se para contas de alto privilégio por meio de engenharia social adicional, eliminando diretórios internos de funcionários. Com acesso novamente elevado, os adversários invadem ambientes SaaS alvo para procurar arquivos de alto valor e relatórios críticos para os negócios no Google Workspace, HubSpot, Microsoft SharePoint e Salesforce e, em seguida, exfiltram dados de interesse para a infraestrutura sob seu controle.
“Na maioria dos casos observados, essas credenciais concedem acesso ao provedor de identidade (IdP) da organização, fornecendo um único ponto de entrada em vários aplicativos SaaS”, disse CrowdStrike. “Ao abusar da relação de confiança entre o IdP e os serviços conectados, os adversários contornam a necessidade de comprometer aplicativos SaaS individuais e, em vez disso, movem-se lateralmente por todo o ecossistema SaaS da vítima com uma única sessão autenticada”.
Os clusters, Cordial Spider (também conhecido como BlackFile, CL-CRI-1116, O-UNC-045 e UNC6671) e Snarky Spider (também conhecido como O-UNC-025 e UNC6661), foram atribuídos a campanhas de extorsão e roubo de dados em alta velocidade que compartilham um notável grau de semelhanças operacionais. Ambos os grupos de hackers são avaliados como ativos desde pelo menos outubro de 2025, sendo o último uma equipe nativa de língua inglesa que compartilha laços com o ecossistema do crime eletrônico conhecido como The Com.
“Na maioria dos casos, esses adversários usam phishing de voz (vishing) para direcionar os usuários-alvo para páginas maliciosas de adversário no meio (AiTM) com tema SSO, onde capturam dados de autenticação e se direcionam diretamente para aplicativos SaaS integrados ao SSO”, disse o Counter Adversary Operations da CrowdStrike em um relatório.
“Ao operar quase exclusivamente em ambientes SaaS confiáveis, eles minimizam sua pegada e aceleram o tempo de impacto. A combinação de velocidade, precisão e atividade somente SaaS cria desafios significativos de detecção e visibilidade para os defensores.”
Em um relatório publicado em janeiro de 2026, a Mandiant, de propriedade do Google, revelou que os dois clusters representam uma expansão na atividade de ameaças que emprega táticas consistentes com ataques com tema de extorsão realizados pelo grupo ShinyHunters. Isso envolve se passar por equipe de TI em chamadas para enganar as vítimas e obter suas credenciais e códigos de autenticação multifator (MFA), direcionando-as para páginas de phishing.
Snarky Spider começa a exfiltração em menos de uma hora
Na semana passada, a Unidade 42 da Palo Alto Networks e o Centro de Compartilhamento e Análise de Informações de Varejo e Hospitalidade (RH-ISAC) avaliaram com confiança moderada que os invasores por trás do CL-CRI-1116 também estão provavelmente associados ao The Com, acrescentando que as invasões dependem principalmente de técnicas de vida fora da terra (LotL), bem como utilizam proxies residenciais para ocultar sua localização geográfica e contornar filtros básicos de reputação baseados em IP.
“A atividade CL-CRI-1116 tem visado ativamente o espaço de varejo e hospitalidade desde fevereiro de 2026, aproveitando especificamente ataques de vishing que se fazem passar por pessoal de suporte técnico de TI em combinação com sites de login de phishing para roubar credenciais”, disseram os pesquisadores Lee Clark, Matt Brady e Cuong Dinh.
Sabe-se que os ataques montados pelos dois grupos registam um novo dispositivo, a fim de contornar o MFA e manter o acesso ao acesso comprometido - mas não antes de remover os dispositivos existentes - após o que os agentes da ameaça agem para suprimir notificações automatizadas por e-mail relacionadas com o registo de dispositivos não autorizados, configurando regras de caixa de entrada que eliminam automaticamente tais mensagens.
A próxima etapa envolve direcionar-se para contas de alto privilégio por meio de engenharia social adicional, eliminando diretórios internos de funcionários. Com acesso novamente elevado, os adversários invadem ambientes SaaS alvo para procurar arquivos de alto valor e relatórios críticos para os negócios no Google Workspace, HubSpot, Microsoft SharePoint e Salesforce e, em seguida, exfiltram dados de interesse para a infraestrutura sob seu controle.
“Na maioria dos casos observados, essas credenciais concedem acesso ao provedor de identidade (IdP) da organização, fornecendo um único ponto de entrada em vários aplicativos SaaS”, disse CrowdStrike. “Ao abusar da relação de confiança entre o IdP e os serviços conectados, os adversários contornam a necessidade de comprometer aplicativos SaaS individuais e, em vez disso, movem-se lateralmente por todo o ecossistema SaaS da vítima com uma única sessão autenticada”.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #grupos #de #crimes #cibernéticos #usando #abuso #de #vishing #e #sso #em #ataques #rápidos #de #extorsão #de #saas
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário