تشهد ساحة الأمن السيبراني تحولاً سريعاً نحو الهجمات عالية السرعة التي تركز على بيئات البرمجيات كخدمة (SaaS)، والتي تتجاوز تماماً أنظمة أمان نقاط النهاية التقليدية. منذ أكتوبر 2025، تتبع باحثو الأمن مجموعتين تهديديتين متميزتين، تعرفان باسم CORDIAL SPIDER و SNARKY SPIDER، وهما تشنان حملات سرقة بيانات عدوانية. تعمل هاتان المجموعتان بشكل حصري تقريباً داخل بيئات SaaS الموثوقة مثل SharePoint و HubSpot و Google Workspace لتسريع تأثير هجماتهما. من خلال الاستفادة من عمليات تسجيل الدخول الموحد (SSO)، تقللان من بصمتهما وتخلقان تحديات كبيرة للرؤية بالنسبة للمدافعين عن المؤسسات.
تُظهر هذه الهجمات مستوى متطوراً من التعقيد، حيث تجمع بين الهندسة الاجتماعية وتقنيات التصيد الاحتيالي المتقدمة للاستيلاء على بيانات الاعتماد والوصول إلى الأنظمة الحساسة. يكشف التقرير الأخير كيف يتمكن المهاجمون من تجاوز المصادقة متعددة العوامل (MFA) واختراق الحسابات بسرعة، مما يؤدي إلى سرقة كميات هائلة من البيانات في وقت قصير جداً.
الوصول الأولي عبر التصيد الاحتيالي الصوتي (Vishing)
يبدأ المهاجمون هجماتهم باستخدام حملات تصيد احتيالي صوتي مستهدفة (vishing). يتنكرون في هيئة فرق دعم تكنولوجيا المعلومات في الشركات، لخلق شعور زائف بالإلحاح حول تحديثات الأمان أو مشكلات الحساب. هذا التكتيك الهندسي الاجتماعي يوجه الموظفين إلى صفحات تصيد احتيالي من نوع "الخصم في المنتصف" (AiTM) مزورة، والتي تحاكي عن كثب بوابات تسجيل الدخول الشرعية للشركات، باستخدام نطاقات خادعة مثل company-sso[.]com.
ملاحظة توضيحية: تقنية AiTM (Adversary-in-the-Middle) تعمل كوسيط بين المستخدم والخدمة الشرعية. عندما يدخل الضحايا بيانات اعتمادهم، يقوم المهاجمون بالتقاط بيانات المصادقة ورموز الجلسة النشطة في الوقت الفعلي. ولأن هذا الوسيط يرحل المصادقة مباشرة إلى الخدمة الشرعية، فإن المستخدمين يختبرون عملية تسجيل دخول طبيعية ويظلون غير مدركين تماماً للاختراق.
تمنح بيانات الاعتماد المسروقة هذه وصولاً إلى موفر الهوية (IdP) للمؤسسة، مما يوفر نقطة دخول واحدة إلى تطبيقات SaaS متعددة. من خلال إساءة استخدام علاقة الثقة بين IdP والخدمات المتصلة، ينتقل المهاجمون بشكل جانبي عبر النظام السحابي بأكمله للضحية.
تثبيت الوصول وتجاوز المصادقة متعددة العوامل (MFA)
بمجرد تأمين المهاجمين للوصول الأولي، يقومون على الفور بتثبيت وجودهم عن طريق التلاعب بإعدادات المصادقة متعددة العوامل (MFA). عادةً ما يقومون بإزالة أجهزة MFA الموجودة وتسجيل أجهزتهم الخاصة بالحسابات المخترقة، بينما يظهرون وكأنهم يصادقون من جهاز موثوق به حديثاً.
تستخدم مجموعة SNARKY SPIDER حصرياً تقريباً محاكيات Genymobile Android لإدارة الأجهزة المتصلة عبر أنظمة تشغيل مختلفة. بينما تستخدم مجموعة CORDIAL SPIDER مجموعة أوسع من الأجهزة المحمولة ومحاكيات Windows Quick Emulators (QEMU) لتلبية احتياجات المصادقة الخاصة بها. غالباً ما يقوم المهاجمون بتسجيل أجهزتهم الضارة في حسابات قديمة لم يتم تمكين MFA عليها مسبقاً.
تحذير: تُظهر المجموعتان منهجية في إخفاء آثارها. يقوم كلتا المجموعتين بحذف رسائل البريد الإلكتروني الأمنية التلقائية من صندوق الوارد الخاص بالضحية لإخفاء تسجيلات الجهاز غير المصرح بها. ينشر المهاجمون قواعد صندوق وارد تلقائية لتصفية الرسائل التي تحتوي على كلمات رئيسية مثل alert أو incident أو MFA على الفور.
سرقة البيانات السريعة
بعد تثبيت الوصول الآمن والخفي، يقوم المهاجمون بإجراء عمليات بحث مستهدفة عبر منصات SaaS المتصلة لتحديد موقع المعلومات عالية القيمة. غالباً ما يستعلمون عن مصطلحات مثل confidential (سرية)، SSN (رقم الضمان الاجتماعي)، contracts (عقود)، و VPN لتحديد أولويات المستندات الهامة للأعمال وبيانات اعتماد البنية التحتية.
بعد مرحلة الاستطلاع هذه، ينتقل المهاجمون بسرعة لتجميع وتنزيل مجموعات بيانات ضخمة. في العديد من الحوادث الموثقة، تبدأ مجموعة SNARKY SPIDER في سرقة كميات كبيرة من البيانات في غضون ساعة واحدة من الاختراق الأولي. تستغل هذه الاختراقات السريعة أخطاء في تكوين العملاء، مثل عدم وجود MFA مقاومة للتصيد الاحتيالي، بدلاً من استغلال الثغرات الأمنية الأساسية في منصات SaaS نفسها.
لإخفاء مواقعهم الجغرافية والتهرب من الكشف القائم على عناوين IP، تقوم مجموعتا التهديد بتوجيه حركة المرور الخاصة بهما عبر شبكات VPN تجارية وشبكات وكيل سكنية. يقوم مقدمو الخدمات مثل Mullvad و Oxylabs و NetNut بتعيين عناوين IP لمستخدمين حقيقيين للمهاجمين، مما يجعل النشاط الضار يبدو وكأنه حركة مرور سكنية عادية.
ماذا يعني هذا لك؟
بالنسبة للمؤسسات، يعني هذا أن الاعتماد على أنظمة الأمان التقليدية وحده لم يعد كافياً. يجب أن تدرك الشركات أن المهاجمين يستهدفون بيئات SaaS بشكل مباشر ويستغلون الثغرات في التكوينات الأمنية بدلاً من الثغرات في المنصات نفسها. هذا يسلط الضوء على أهمية الإدارة الشاملة لوضع الأمان في SaaS وتطبيق تدابير وقائية قوية.
بالنسبة للمستخدمين، فإن الوعي المتزايد بمثل هذه الهجمات أمر حيوي. يجب أن يكون الموظفون على دراية بتكتيكات التصيد الاحتيالي الصوتي (vishing) وصفحات تسجيل الدخول المزيفة. التحقق من صحة طلبات الدعم الفني عبر قنوات رسمية مستقلة، وعدم النقر على روابط مشبوهة أو إدخال بيانات الاعتماد في صفحات غير مؤكدة، يمكن أن يحمي من الوقوع ضحية لمثل هذه الهجمات.
الدفاع ضد هذه الهجمات المتقدمة
يتطلب الدفاع ضد هذه التقنيات المتطورة إدارة شاملة لوضع أمان SaaS والكشف المتقدم عن الشذوذ. تعمل المنصات مثل CrowdStrike Falcon Shield على معالجة هذه الفجوات في الرؤية من خلال تطبيق خبرة عميقة في SaaS لتحليل تدفقات المصادقة وسلوكيات المستخدمين.
من خلال الجمع بين النماذج الإحصائية المدركة للكيانات مع معلومات الشبكة الحديثة، يمكن لفرق الأمن تحديد خدمات إخفاء الهوية بشكل موثوق، وتجميع البنية التحتية العدائية، وتعطيل هذه التهديدات السحابية عالية السرعة. يجب على المؤسسات الاستثمار في حلول أمنية قادرة على مراقبة السلوكيات غير العادية داخل بيئات SaaS الخاصة بهم وتوفير MFA مقاومة للتصيد الاحتيالي.
في الختام، يمثل هذا التطور في تكتيكات المهاجمين تذكيرًا صارخًا بأن الأمن السيبراني يتطلب يقظة مستمرة وتكيفًا مع التهديدات المتغيرة. يجب على المؤسسات إعطاء الأولوية لتأمين بيئات SaaS الخاصة بها، وتدريب موظفيها، وتطبيق حلول أمنية متقدمة لحماية بياناتها الحساسة من الاختراقات سريعة التطور.
