Хакеры удаляют письма со словом «alert» из вашего ящика. Вы их не видите. Спасибо за доверие

Компания CrowdStrike предупредила о заметном сдвиге в тактике вымогательских группировок: злоумышленники всё чаще обходят классические средства защиты не через заражение рабочих станций, а через доверенные облачные сервисы. В таких атаках взлом может выглядеть как обычный вход сотрудника в корпоративный аккаунт, а кража данных начинается уже через считаные минуты.

По данным CrowdStrike, с октября 2025 года группы CORDIAL SPIDER и SNARKY SPIDER проводят быстрые атаки на SaaS-среды, используя голосовой фишинг. Злоумышленники выдают себя за сотрудников IT-поддержки и убеждают работников перейти на поддельные страницы единого входа. Домены таких сайтов имитируют корпоративные порталы, поэтому жертва видит привычную форму авторизации и не замечает подвоха.

После ввода учётных данных атакующие перехватывают не только логин и пароль, но и активные сессионные токены. Такой подход позволяет им получить доступ к системе единого входа и связанным SaaS-приложениям без отдельного взлома каждого сервиса.

Для закрепления в скомпрометированных аккаунтах CORDIAL SPIDER и SNARKY SPIDER добавляют собственные устройства многофакторной аутентификации. В ряде случаев старые MFA-устройства удалялись перед регистрацией новых. CrowdStrike отмечает, что SNARKY SPIDER почти всегда использовала Android-эмулятор Genymobile, а CORDIAL SPIDER применяла более широкий набор мобильных устройств и QEMU.

Затем атакующие стараются скрыть следы взлома. SNARKY SPIDER, по наблюдениям CrowdStrike, удаляет письма с уведомлениями о подозрительной активности и создаёт правила почтового ящика, которые автоматически убирают сообщения со словами вроде «alert», «incident» и «MFA». Так жертва может не увидеть предупреждения о новом устройстве или странном входе.

После закрепления группы ищут в SaaS-платформах документы и сообщения по чувствительным словам, включая «confidential», «SSN», «contracts» и «VPN». Такой поиск помогает быстро найти договоры, внутренние материалы, данные сотрудников и сведения об инфраструктуре.

Главная цель обеих групп — массовая выгрузка данных из SharePoint, HubSpot, Google Workspace и других облачных сервисов. CrowdStrike подчёркивает, что атаки не связаны с уязвимостями самих SaaS-платформ. Проблемы чаще возникают из-за слабых настроек у клиентов, отсутствия устойчивой к фишингу MFA и слишком широких прав доступа.

Для маскировки CORDIAL SPIDER и SNARKY SPIDER используют коммерческие VPN и резидентские прокси, включая Mullvad, Oxylabs, NetNut, 9Proxy, Infatica и NSOCKS. Резидентские прокси особенно затрудняют выявление атак, поскольку трафик выглядит как подключение с домашних IP-адресов обычных пользователей.

CrowdStrike связывает такие кампании с ростом разрыва между защитой конечных устройств и видимостью внутри SaaS-сред. Даже хорошо защищённая рабочая станция не поможет, если злоумышленник уже вошёл в облачные сервисы через украденную сессию и действует от имени реального пользователя.