SecBoard
Zurück zur Übersicht
IT/SaaSAD & Identity

Cybercrime Groups Using Vishing and SSO Abuse in Rapid SaaS Extortion Attacks

The Hacker News·
Originalartikel lesen bei The Hacker News

Zwei Cybercrime-Gruppen, Cordial Spider und Snarky Spider, führen schnelle SaaS-Angriffe durch, bei denen sie Voicemail-Pishing (Vishing) und Missbrauch von Single-Sign-On-Funktionen einsetzen. Diese Angriffe ermöglichen es den Angreifern, schnell und mit geringem Spurenverlauf Daten zu stehlen. Betroffen sind Unternehmen, die SaaS-Dienste nutzen. Unternehmen sollten strenge Sicherheitsmaßnahmen für Voicemail-Systeme und SSO-Funktionalitäten implementieren sowie regelmäßige Sicherheitskontrollen durchführen.

Kurzfassung

Die Cybercrime-Gruppen Cordial Spider und Snarky Spider führen schnelle SaaS-Angriffe durch. Sie nutzen Vishing und Missbrauch von Single-Sign-On-Funktionen, um Daten mit geringem Spurenverlauf zu stehlen. Betroffen sind Unternehmen, die SaaS-Dienste nutzen.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Unternehmen, die SaaS-Dienste nutzen.

Warum relevant

Vishing und SSO-Missbrauch können klassische Perimeterkontrollen umgehen und schnellen Zugriff auf SaaS-Daten ermöglichen.

Realistisches Worst Case

Realistischer Worst Case ist schneller Diebstahl von SaaS-Daten nach erfolgreichem Social Engineering und SSO-Missbrauch.

Handlungsempfehlung

Vishing-resistente Prozesse, starke MFA, SSO-Überwachung und regelmäßige SaaS-Sicherheitskontrollen implementieren.

Defensive Validierung / Purple-Team Checks
  • Prüfen, ob Helpdesk- und Voicemail-Prozesse gegen Vishing-Szenarien abgesichert sind.
  • Kontrollieren, ob SSO-Anomalien wie neue Geräte, ungewöhnliche Standorte oder riskante Sitzungen alarmiert werden.
  • Validieren, ob SaaS-Aktivitätslogs Datenexporte und ungewöhnliche Zugriffe nachvollziehbar erfassen.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1566 PhishingMediumDer Artikel nennt Voicemail-Phishing beziehungsweise Vishing.
Initial AccessT1078 Valid AccountsMediumDer Artikel beschreibt Missbrauch von Single-Sign-On-Funktionen.
CollectionT1213 Data from Information RepositoriesLowDer Artikel nennt Datendiebstahl aus SaaS-Diensten, aber keine konkreten Repositories.
Offene Punkte
  • Konkrete SaaS-Plattformen sind nicht im Artikel angegeben.
  • IOCs, Tools und Exploits sind nicht im Artikel angegeben.
  • Die genaue Methode des SSO-Missbrauchs ist nicht im Artikel angegeben.
Vollständigen Artikel lesen bei The Hacker News