Angreifer nutzen AiTM-Phishing-Seiten, um auf SharePoint, HubSpot und Google Workspace zuzugreifen
Bedrohungsakteure verlagern Eindringhandwerk rasant auf hochgeschwindigkeitsorientierte, SaaS-zentrierte Angriffe, die traditionelle Endpunktsicherheitslösungen vollständig umgehen.
Kurzfassung
Warum das wichtig ist
- Bedrohungsakteure verlagern Eindringhandwerk rasant auf hochgeschwindigkeitsorientierte, SaaS-zentrierte Angriffe, die traditionelle Endpunktsicherheitslösungen vollständig umgehen.
- Seit Oktober 2025 verfolgen Sicherheitsforscher zwei unterschiedliche Gegner, die als CORDIAL SPIDER und SNARKY SPIDER identifiziert wurden, die aggressive Datendiebstahlkampagnen durchführen.
- Diese Gruppen agieren fast ausschließlich innerhalb vertrauenswürdiger SaaS-Umgebungen wie SharePoint, HubSpot und Google Workspace, um ihre Zeit bis zum Schaden zu beschleunigen.
Initialer Zugriff mittels Vishing Die Gegner initiieren ihre Angriffe mithilfe gezielter Voice-Phishing-Kampagnen (Vishing). Sie geben sich als IT-Support-Teams , um ein falsches Gefühl der Dringlichkeit bezüglich Sicherheitsupdates oder Kontoproblemen zu erzeugen.
Diese -Engineering-Taktik leitet Mitarbeiter auf betrügerische Adversary-in-the-Middle (AiTM)-Phishing-Seiten, die legitime Unternehmens-Login-Portale stark imitieren, und verwendet dabei täuschende Domains wie company-sso[.]com.
Diese Falcon Shield Erkennung zeigt ein verdächtiges Anmeldemuster, das mit AiTM-Phishing-Angriffen übereinstimmt (Quelle: Crowdstrike). Wenn Opfer ihre Anmeldedaten eingeben, erfassen die Angreifer Authentifizierungsdaten und aktive Sitzungstoken in Echtzeit.
Moegliche Anwendungen
Da das Proxy diese Authentifizierung direkt an den legitimen Dienst weiterleitet, erleben die Benutzer eine normale Anmeldung und sind sich des Kompromittierungsvorfalls völlig unbewusst. Diese gestohlenen Anmeldedaten gewähren Zugang zum Identitätsanbieter (IdP) der Organisation und bieten einen einzigen Zugangspunkt zu mehreren SaaS-Anwendungen.
Durch die Ausnutzung des Vertrauensverhältnisses zwischen dem IdP und den verbundenen Diensten bewegen sich die Angreifer lateral durch das gesamte Cloud-Ökosystem des Opfers. Sobald die Angreifer einen anfänglichen Zugriff erlangen, etablieren sie sofort Persistenz, indem sie die Einstellungen der Multi-Faktor-Authentifizierung (MFA) manipulieren.
Diese Falcon Shield Erkennung identifiziert die manuelle Löschung (Quelle: Crowdstrike).
SNARKY SPIDER meldet fast ausschließlich Genymobile
SNARKY SPIDER meldet fast ausschließlich Genymobile Android Emulatoren zur Verwaltung äten über verschiedene Betriebssysteme hinweg an.
CORDIAL SPIDER verwendet eine breitere Palette äten und Windows Quick Emulatoren (QEMU) für seinen Authentifizierungsbedarf.
Bedrohungsakteure registrieren oft ihre bösartigen Geräte bei langjährigen Konten, bei denen MFA zuvor nicht aktiviert war.
Beide Gruppen löschen systematisch automatisierte Sicherheits-E-Mails
Beide Gruppen löschen systematisch automatisierte Sicherheits-E-Mails aus dem Posteingang des Opfers, um nicht autorisierte Geräte-Registrierungen zu verbergen.
Angreifer setzen automatisierte Posteingangsregeln ein, um Nachrichten, die Schlüsselwörter wie „Alert“, „Incident“ oder „MFA“ enthalten, sofort zu filtern.
Schnelle Datenexfiltration Nachdem ein sicherer und unauffälliger Zugang hergestellt wurde, führen die Bedrohungsakteure gezielte Suchanfragen über miteinander verbundene SaaS-Plattformen durch, um hochkarätige Informationen zu lokalisieren. SNARKY SPIDER beginnt innerhalb einer Stunde mit der Exfiltration (Quelle: Crowdstrike).
Sie fragen häufig Begriffe wie „confidential“,
Sie fragen häufig Begriffe wie „confidential“, „SSN“, „contracts“ und „VPN“ ab, um geschäftskritische Dokumente und Infrastruktur-Zugangsdaten zu priorisieren. Nach dieser Aufklärungsphase bewegen sich die Gegner schnell zur Aggregation und zum Download massiver Datensätze.
In vielen dokumentierten Vorfällen beginnt SNARKY SPIDER innerhalb einer Stunde nach der anfänglichen Kompromittierung mit der Hochvolumen-Datenexfiltration. Diese schnellen Durchbrüche nutzen Kundenkonfigurationseinstellungen aus, wie das Fehlen eines phishing-resistenten MFA, anstatt zugrunde liegender Schwachstellen in den SaaS-Plattformen selbst.
Um ihre geografischen Standorte zu verschleiern und IP-basierte Erkennung zu umgehen, leiten beide Bedrohungsgruppen ihren Datenverkehr über kommerzielle VPNs und Wohnproxynetzwerke. Die Falcon Shield Erkennung identifiziert, wann ein Benutzer Dateien in einem bestimmten Volumen herunterlädt (Quelle: crowdstrike).
Anbieter wie Mullvad, Oxylabs und NetNut
Anbieter wie Mullvad, Oxylabs und NetNut weisen Angreifern echte IP-Adressen , wodurch böswillige Aktivitäten wie harmloser Wohnverkehr erscheinen. Der Schutz vor diesen ausgefeilten Techniken erfordert ein umfassendes SaaS-Security-Posture-Management und erweiterte Anomalieerkennung.
Plattformen wie CrowdStrike Falcon Shield schließen diese Sichtungslücken, indem sie tiefgreifendes SaaS-Know-how anwenden, um Authentifizierungsflüsse und Benutzerverhaltensweisen zu analysieren.
Durch die Kombination ätsbewussten statistischen Modellen mit modernster Netzwerkintelligenz können Sicherheitsteams Anonymisierungsdienste zuverlässig identifizieren, feindliche Infrastrukturen bündeln und diese Hochgeschwindigkeits-Cloud-Bedrohungen unterbrechen.
Sie uns auf
Sie uns auf
Der Beitrag Attackers Deploy AiTM Phishing Pages to Access SharePoint, HubSpot, and Google Workspace erschien zuerst bei Cyber Security News.
Thema weiterverfolgen
Interne Verlinkung
Im Kontext weiterlesen
Diese weiterfuehrenden Links verbinden das Thema mit relevanten Archivseiten, Schlagwoertern und inhaltlich nahen Artikeln.
Technologie Archiv
Weitere Meldungen aus derselben Hauptkategorie.
Mehr von Cyber Security News
Alle veroeffentlichten Inhalte derselben Quelle im Archiv.
Unknown Worlds bestätigt, dass KRAFTON nach dem Entfernen der Steam-Seite weiterhin Subnautica 2 co-publiziert
Redaktionell verwandter Beitrag aus dem selben Themenumfeld.
Warhorse bestreitet, KI sei ein Ersatz für menschliche Arbeit, nach Vorwürfen, einen Übersetzer durch KI ersetzt zu haben
Redaktionell verwandter Beitrag aus dem selben Themenumfeld.
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Cyber Security News
- Originaltitel
- Attackers Deploy AiTM Phishing Pages to Access SharePoint, HubSpot, and Google Workspace
- Canonical
- https://cybersecuritynews.com/attackers-deploy-aitm-phishing-page/
- Quell-URL
- https://cybersecuritynews.com/attackers-deploy-aitm-phishing-page/
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.
Unknown Worlds bestätigt, dass KRAFTON nach dem Entfernen der Steam-Seite weiterhin Subnautica 2 co-publiziert
Nach KRAFTONs Verschwinden von Subnautica 2 Steam-Seite führte dies Spekulationen, dass KRAFTON Spiel nicht mehr veröffentlichen und dass möglicherweise Entwicklerstudio Unknown Worlds Zukunft von dem
02.05.2026
Live Redaktion
Warhorse bestreitet, KI sei ein Ersatz für menschliche Arbeit, nach Vorwürfen, einen Übersetzer durch KI ersetzt zu haben
Die Macher Kingdom Come: Deliverance, Warhorse Studios, veranstalteten gestern ein AMA Reddit, und während die positive Seite Veranstaltung Bestätigung enthielt, dass Studio an „einem riesigen immersi
02.05.2026
Live Redaktion
NVIDIA stellt ältere Jetson-Module mit LPDDR4-Speicher ein, da DRAM-Preise und -Verfügbarkeit sinken
NVIDIA wird aufgrund Engpässen und steigenden Preisen für LPDDR4-Speicher seine älteren Jetson-Entwicklungsmodule einstellen.
02.05.2026
Live Redaktion
Crimson Desert und Pokémon Pokopia: Umsatzvergleiche für März 2026, aber Resident Evil Requiem übertrifft beide im ersten Quartal 2026
Während wir uns offiziell dem halben Weg zu 2026 nähern, liefert der neueste Monatsbericht der globalen Analysefirma Newzoo Einblicke darüber, welche der größten Veröffentlichungen im März 2026 Engagement und Ums
02.05.2026
Live Redaktion