AiTM-атаки на SaaS: вишинг, MFA и кража данных

С октября 2025 года подразделение CrowdStrike Counter Adversary Operations фиксирует заметную эволюцию методов кибератак: злоумышленники все чаще обходят традиционные средства защиты конечных точек и переносят фокус на SaaS-среду, IdP и механизмы идентификации пользователей.

По данным отчета, наиболее активны две враждебные группировки — CORDIAL SPIDER и SNARKY SPIDER. Их подход строится на быстрых, хорошо скрытых атаках, в которых ключевую роль играют voice phishing (vishing) и Adversary-in-the-Middle (AiTM) страницы, маскирующиеся под легитимные SSO-порталы.

Как работают атаки

Злоумышленники убеждают жертв перейти на поддельные страницы входа, визуально почти неотличимые от настоящих интерфейсов авторизации. Это позволяет им перехватывать credentials и session tokens непосредственно в момент входа пользователя и использовать их для дальнейшего доступа к корпоративным средам.

Такая схема особенно опасна тем, что атака происходит в доверенной SaaS-среде и при этом может обходить многие механизмы защиты, ориентированные на конечные точки.

Закрепление внутри инфраструктуры

После получения первоначального доступа группы стремятся закрепиться в системе. Для этого они регистрируют собственные устройства MFA, а в ряде случаев предварительно удаляют существующие конфигурации многофакторной аутентификации.

• SNARKY SPIDER использует Android-эмулятор Genymobile, поскольку он обеспечивает удобную поддержку MFA;
• CORDIAL SPIDER применяет комбинацию мобильных устройств и конфигурации Windows на базе QEMU.

Дополнительно SNARKY SPIDER пытается подавлять любые уведомления, связанные с компрометацией учетных записей. Для этого создаются правила почтового ящика, автоматически удаляющие предупреждения безопасности и сообщения, содержащие ключевые слова, связанные с подозрительной активностью.

Итогом становится снижение вероятности обнаружения и более длительное сохранение несанкционированного доступа.

Цель — данные в SaaS

Основная задача обеих группировок — масштабная эксфильтрация данных из различных SaaS-платформ, включая SharePoint и Google Workspace. Отдельно отмечается, что злоумышленники проводят целевые поиски, чтобы выявить конфиденциальную информацию, связанную с критически важными бизнес-процессами.

Для маскировки активности они используют коммерческие VPN-сервисы и residential proxies, что делает их трафик внешне похожим на нормальный и усложняет анализ происхождения соединений.

Где возникает пробел в защите

Хотя многие организации усиливают защиту конечных точек, отчет подчеркивает: ключевой пробел сегодня находится на уровне IdP и SaaS. Именно там злоумышленники перехватывают аутентификацию, закрепляются и продолжают деятельность без немедленного обнаружения.

«Этот тип атак подчеркивает пробел в обнаружении, особенно на уровне провайдера идентификации (IdP) и SaaS», — следует из материалов CrowdStrike.

Что предлагает CrowdStrike

Для закрытия этого разрыва CrowdStrike Falcon Shield использует расширенные методы обнаружения аномалий, позволяющие отличать легитимную активность от вредоносной. Инструмент обеспечивает широкую видимость по всему стеку SaaS и учитывает:

• данные анализа поведения пользователей;
• специфику конфигураций платформ;
• классификацию сервисов анонимизации;
• мониторинг доступа через инфраструктуру, не принадлежащую предприятию.

Таким образом, Falcon Shield ориентирован на точное определение источников подозрительной активности и выявление сценариев, в которых злоумышленники маскируют свое присутствие под обычную пользовательскую работу.

Вывод: отчет CrowdStrike показывает, что атаки смещаются от классического взлома конечных точек к компрометации идентичности, а значит, организациям требуется усиливать контроль именно в IdP— и SaaS-контуре.