تحذير: مجموعات إجرامية تستهدف تطبيقات SaaS بالابتزاز السريع

حذر خبراء الأمن السيبراني من هجمات ابتزاز سريعة تستهدف تطبيقات SaaS، حيث تنفذ مجموعات إجرامية عمليات اختراق عالية التأثير بأقل أثر ممكن لتجنب الاكتشاف.

تعتمد المجموعات الإجرامية المحترفة مؤخراً على استراتيجيات هجومية تتجاوز أنظمة الحماية التقليدية، مما يشكل تهديداً مباشراً لبيانات الشركات الحساسة المخزنة في السحاب. ووفقاً لتقرير تابعته تيكبامين، فإن هذه الهجمات تتميز بالسرعة الفائقة والدقة في التنفيذ، مما يجعل رصدها تحدياً كبيراً لفرق الدفاع الرقمي.

كيف يتم تنفيذ هجمات الابتزاز عبر تطبيقات SaaS؟

تستخدم المجموعات المهاجمة مزيجاً من التقنيات النفسية والتقنية للوصول إلى الأنظمة الحساسة. وتعتمد العملية بشكل أساسي على استغلال الثقة في أنظمة تسجيل الدخول الموحد (SSO). إليكم الخطوات الرئيسية لهذه الهجمات:

• التصيد الصوتي (Vishing): انتحال صفة موظفي الدعم الفني في مكالمات هاتفية لإقناع الضحايا بالإدلاء ببياناتهم.
• صفحات تسجيل دخول وهمية: توجيه المستخدمين إلى صفحات (AiTM) تحاكي أنظمة الـ SSO الرسمية لسرقة بيانات الاعتماد فوراً.
• تجاوز المصادقة الثنائية (MFA): تسجيل أجهزة جديدة تابعة للمهاجمين بعد الحصول على رموز الوصول من الضحية.
• قواعد الحذف التلقائي: إعداد قواعد في بريد الضحية لحذف إشعارات الأجهزة الجديدة تلقائياً لمنع اكتشاف الاختراق.

ما هي مجموعات Cordial Spider وSnarky Spider؟

أشار تقرير جديد إلى نشاط مكثف لمجموعتين إجراميتين هما "كورديل سبايدر" (Cordial Spider) و"سناركي سبايدر" (Snarky Spider). وتعمل هاتان المجموعتان منذ أكتوبر 2025 على الأقل، حيث أظهرتا تشابهاً كبيراً في أساليب العمل والسرعة في تنفيذ عمليات سرقة البيانات والابتزاز.

أبرز خصائص هذه المجموعات الإجرامية:

• تستخدم تقنيات "العيش بعيداً عن الأرض" (LotL) التي تعتمد على أدوات النظام الأصلية.
• تعتمد على بروكسيات سكنية لإخفاء المواقع الجغرافية للمهاجمين وتجاوز فلاتر عناوين IP.
• ترتبط المجموعة الثانية ببيئة إجرامية ناطقة بالإنجليزية تُعرف باسم "ذا كوم" (The Com).
• تستخدم تكتيكات مشابهة لمجموعة "شاين هانترز" (ShinyHunters) الشهيرة في عالم الابتزاز.

لماذا يستهدف المخترقون قطاعي التجزئة والضيافة؟

وفقاً لما ذكرته تيكبامين، فقد تم رصد نشاط مكثف يستهدف قطاعي التجزئة والضيافة منذ فبراير 2026. يرجع ذلك إلى الاعتماد الكبير لهذه القطاعات على تطبيقات SaaS لإدارة العمليات اليومية، مما يمنح المهاجمين مساحة واسعة للتحرك.

تكتيكات المهاجمين في هذه القطاعات:

• انتحال شخصية موظفي مكتب المساعدة (Help Desk) لخداع الموظفين.
• التركيز على سرعة التأثير (Time to Impact) لضمان الحصول على البيانات قبل تدخل فرق الأمن.
• العمل بالكامل داخل بيئات السحاب الموثوقة لتقليل الأثر الرقمي المتروك خلفهم.

كيف يمكن للشركات التصدي لهذه الهجمات المتطورة؟

مع تطور أساليب الابتزاز السحابي، يجب على الشركات تبني نهج أمني متعدد الطبقات. يوصي الخبراء بضرورة تدريب الموظفين على التعرف على مكالمات التصيد الصوتي، مع تعزيز مراقبة سجلات الدخول في بيئات تطبيقات SaaS لرصد أي نشاط غير معتاد للأجهزة الجديدة.

إن الجمع بين السرعة والدقة والنشاط المقتصر على السحاب يضع مسؤولية كبيرة على عاتق المدافعين، حيث يتطلب الأمر استراتيجيات كشف استباقية تعتمد على تحليل السلوك بدلاً من مجرد الاعتماد على كلمات المرور والمصادقة التقليدية.