Cybersecurity-Forscher haben zwei kriminelle Cluster identifiziert - in mehreren Berichten als Kabeljau Spider und Snarky Spider- die zu einem besorgniserregenden Wandel in der Industrie führen: High-Speed- und Low-Track-Angriffe, die fast ausschließlich in zuverlässigen SaaS-Umgebungen operieren. Diese Bands kombinieren stimmbasierte Social Engineering (vishing) Techniken mit negativen in- the-middle (AiTM) Phishing-Seiten zur Erfassung von Anmeldeinformationen und MFA-Codes, so dass sie direkt an Identitätsanbieter und angeschlossene SaaS-Anwendungen schwenken ohne die Notwendigkeit, jeden Service separat zu bedienen.
Die von Analysten beschriebene Arbeitsweise ist einfach und effektiv: Zuerst überzeugen sie einen Mitarbeiter - oft als technisches Support-Personal -, eine bösartige URL zu besuchen, die die SSO-Authentifizierung abschließt; dann verwenden sie diese Anmeldeinformationen, um ein neues Gerät aufzunehmen, legitime Geräte zu entfernen und Alarme unauffällig zu erstellen Regeln in dem Posteingang, die Benachrichtigungen entfernen. Nach dem Aufstieg von Privilegien durch das Abkratzen interner Verzeichnisse suchen Angreifer nach hochwertigen Dokumenten und Berichten über Plattformen wie Google Workspace, Microsoft SharePoint, HubSpot oder Salesforce, um das Opfer zu exfiltrieren und manchmal zu erpressen. Aktuelle öffentliche Forschungsergebnisse in diesen Betrieben mit "Leving-off-the-land" Techniken und Wohn-Proxies, um die Zuschreibung zu behindern und grundlegende IP-Reputationsfilter zu umgehen.
Die Auswirkungen sind klar: der Identitätsanbieter (ID) wird ein einziger Fehlerpunkt. Wenn die Angreifer dort gültige Sitzungen erhalten, können sie sich seitlich durch das SaaS-Ökosystem mit einer einzigen Authentisierung bewegen, ihre forensische Footprint und beschleunigende Zeit zum Aufprall reduzieren. Für mittlere und große Organisationen führt dies zu direkten Risiken für die Vertraulichkeit sensibler Daten, die operative Kontinuität und die regulatorische Exposition im Datenschutz und die Berichterstattung von Lücken.
Angesichts dieses Szenarios sollten defensive Maßnahmen den Schutz des Identitätsumfangs und die Fähigkeit, anormale Aktivität innerhalb von SaaS zu erkennen, priorisieren. Die effektivsten Praktiken umfassen die Annahme von phishing-resistenten Authentifizierungsmethoden (z.B. FIDO2 / WebAuthn und physische Sicherheitsschlüssel), bedingte Zugriffsrichtlinien, die das Risiko durch Sitzungskontext (Standort, Gerät, Verhalten) und die Entfernung oder Einschränkung von MFA-Methoden basierend auf SMS- oder TOTP-Codes bewerten, wenn nicht durch zusätzliche Kontrollen ausgewertet. Es ist auch kritisch, "Breakglas"-Konten mit strenger Kontrolle und Audit zu haben, und die IPP- und SaaS-Software für die forensische Analyse zu speichern und zu exportieren.
Die Erkennung dieser Kampagnen erfordert eine spezifische Beobachtungspflicht: Überwachung von Datensätzen neuer Geräte, Änderungen der MFA-Konfiguration, Erstellung von Posteingangsregeln, Gewährung von ungewöhnlichen Token und skalierten Zugriffsmustern zwischen mehreren Diensten in einem kurzen Fenster. Die Integration der Kapazitäten von Identitäts-Denke-Erkennung und -Antwort (ITDR), CASB und DLP hilft, Signale zu korrelieren, die gut aussehen, aber zusammen zeigen Engagement. Darüber hinaus verringert die Sperrung oder Kennzeichnung des Verkehrs von Wohn-Proxies und die Anreicherung von Ereignissen mit Intelligenz über schädliche Infrastruktur falsche Negative.
Auf menschlicher und verfahrenstechnischer Ebene ist es angebracht, die Kontrollen gegen das Verderben zu stärken: Überprüfungsverfahren für Unterstützungsgespräche (z.B. abgehende Rufverifikationscodes oder alternative Bestätigungskanäle), um Vernichtungsangriffe in Sensibilisierungsprogrammen zu simulieren und Tischübungen vorzubereiten, die die Wiederherstellung von begangenen Identitäten und die Koordinierung mit SaaS-Anbietern beinhalten, um betroffene Sitzungen und Anmeldeinformationen zu widerrufen. Die Aufrechterhaltung von Kommunikationskanälen mit sektoralen Austauschgruppen wie RH-ISAC und externen Antwortteams beschleunigt die Erkennung und Eindämmung in realen Fällen; siehe allgemeine Antwort- und Analyseressourcen in CrowdStrike und Mandiant, und Intelligenznotizen von Einheiten wie Einheit 42 in Palo Alto Netzwerke.
Für Exekutivbeamte ist die Priorität zu verstehen, dass die Sicherheit nicht mehr nur Endpunkte und Netzwerke schützt: Identität ist der neue Umkreis. Investitionen in Identitätskontrollen, Sichtbarkeit innerhalb des SaaS-Stacks und Reaktionspläne, die eine schnelle Exfiltration und Erpressung betrachten, werden sowohl die Wahrscheinlichkeit als auch Auswirkungen dieser Angriffe verringern. Schließlich ist das Dokumentieren und Testen von Berichterstattung an Kunden und Regulierungsbehörden angesichts eines möglichen Lecks und der rechtlichen Unterstützung und Kommunikation ebenso wichtig wie die technische Vermittlung.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...