サイバーセキュリティ研究者は、SaaS環境内で「迅速かつ影響力の大きい攻撃」をほぼ完全に実行し、痕跡を最小限に抑えている2つのサイバー犯罪グループについて警鐘を鳴らしています。これらのグループ、「Cordial Spider」（別名BlackFile、CL-CRI-1116、O-UNC-045、UNC6671）と「Snarky Spider」（別名O-UNC-025、UNC6661）は、類似した運用パターンを持つ高速データ窃盗と恐喝キャンペーンで知られています。 両グループは少なくとも2025年10月から活動しており、ネイティブの英語話者グループであるSnarky Spiderは、The Comとして知られるe-crimeエコシステムに関連付けられています。 ### VishingとAiTM攻撃 **CrowdStrike**のCounter Adversary Operationsによるレポートによると、「ほとんどの場合、これらの攻撃者はボイスフィッシング（vishing）を使用して、標的ユーザーを悪意のある、SSOをテーマにしたAdversary-in-the-Middle（AiTM）ページに誘導し、そこで認証データをキャプチャして、SSO統合されたSaaSアプリケーションに直接ピボットします。」 「信頼できるSaaS環境内でほぼ排他的に活動することで、攻撃者はフットプリントを最小限に抑えながら、影響が出るまでの時間を加速させます。スピード、精度、そしてSaaSのみの活動の組み合わせは、防御者にとって検出と可視性の大きな課題を生み出します。」 ### ShinyHuntersとの関連 **Google**傘下の**Mandiant**による2026年1月のレポートは、これらのクラスターが**ShinyHunters**グループによる恐喝攻撃と一致する脅威活動の拡大を表していることを明らかにしました。これには、IT担当者を装って、フィッシングページを通じて認証情報と多要素認証（MFA）コードを被害者に提供させるという手口が含まれます。  _Snarky Spiderは1時間以内にデータ流出を開始_ ### 小売およびホスピタリティ業界を標的に 先週、**Palo Alto Networks** Unit 42とRetail & Hospitality Information Sharing and Analysis Center（RH-ISAC）は、CL-CRI-1116の背後にいる攻撃者がThe Comに関連している可能性が高いと評価しました。これらの侵入は、主にLiving-off-the-Land（LotL）技術と住宅用プロキシを使用して、その場所を隠蔽し、IPベースの評判フィルターを回避します。 研究者のLee Clark、Matt Brady、Cuong Dinhは、「CL-CRI-1116の活動は、2026年2月以降、小売およびホスピタリティ分野を積極的に標的にしており、特にITヘルプデスク担当者を装ったvishing攻撃とフィッシングログインサイトを組み合わせて認証情報を盗んでいます。」と述べています。 ### MFAのバイパスと高権限アカウントの標的化 これらのグループは、既存のデバイスを事前に削除し、新しいデバイスを登録してMFAをバイパスし、受信トレイのルールを設定してそのようなメッセージを削除することで、不正なデバイス登録に関連する自動化された電子メール通知を抑制します。 次のステップは、ソーシャルエンジニアリングを通じて高権限アカウントを標的にし、社内の従業員ディレクトリをスクレイピングすることです。権限昇格を達成すると、攻撃者は**Google Workspace**、**HubSpot**、**Microsoft SharePoint**、**Salesforce**内の高価値ファイルやビジネス上の重要なレポートを見つけるためにSaaS環境を標的にし、データを自身のインフラストラクチャに流出させます。 ### 信頼関係の悪用 「観測されたほとんどのケースでは、これらの認証情報は組織のIDプロバイダー（IdP）へのアクセスを許可し、複数のSaaSアプリケーションへの単一の侵入口を提供します」と**CrowdStrike**は述べています。「IdPと接続されたサービス間の信頼関係を悪用することにより、攻撃者は個々のSaaSアプリケーションを侵害する必要性を回避し、単一の認証済みセッションで被害者のSaaSエコシステム全体にわたって横方向に移動します。」