Darktraceの調査によると、脅威アクターは仮想専用サーバー(VPS)を悪用して、ソフトウェア・アズ・ア・サービス(SaaS)アカウントを侵害している。
このサイバーセキュリティベンダーは、複数の顧客環境にまたがる連携したSaaSアカウント侵害を特定した。いずれも、複数のVPSプロバイダーに関連付けられたIPアドレスからのログインを伴っていた。
侵害されたアカウントは、その後のフィッシング攻撃の実行に利用され、脅威アクターは検知を回避し、永続的なアクセスを可能にするための手順を講じていた。
VPSは、共有された物理デバイス上で専用のリソースと制御を提供するために、企業で広く利用されている正当な仮想化サーバーである。
しかし攻撃者は、ローカルのトラフィックを模倣して地理位置情報ベースの防御を回避したり、クリーンで新規にプロビジョニングされたインフラを用いてIPレピュテーションチェックを逃れたり、正当な挙動に紛れ込んだりする目的で、これを悪用できる。
Darktraceの研究者は、8月21日に公開したブログで次のように警告した。「HyonixやHost UniversalのようなVPSプロバイダーは、迅速なセットアップと最小限のオープンソース・インテリジェンス(OSINT)上の痕跡を提供するため、検知が困難になる。これらのサービスは展開が速いだけでなく安価でもあるため、スケーラブルなキャンペーンのために匿名で低コストのインフラを求める攻撃者にとって魅力的だ。」
さらに彼らは、「この種の攻撃は標的型で持続的である傾向があり、しばしば正当なユーザー活動に合わせてタイミングが調整される。これは従来のセキュリティツールを概ね無力化する戦術だ」と続けた。
攻撃者がVPSインフラを介してSaaSを侵害する方法
Darktraceの顧客SaaSアカウントに影響を与えた複数のインシデントが、2025年5月に観測された。多くのアラートはVPSプロバイダーHyonixに結び付き、ブルートフォースの試行、異常なログイン、フィッシングキャンペーンに関連した受信トレイルールの作成が含まれていた。
あるケースでは、顧客環境内の2台の内部デバイスが、VPSプロバイダーのHyonixおよびHost Universalに関連する、まれな外部IPからのログインを開始した。
これらのログインは、遠隔地の地理位置情報からの正当なユーザー活動の数分以内に発生しており、セッションハイジャックが起きていたことを示している。
ログインの直後、脅威アクターはユーザーの「送信済みアイテム」フォルダーから請求書類に言及するメールを削除しており、侵害されたアカウントから送信されたフィッシングメールを隠そうとした試みが示唆された。
研究者はまた、新しいメールルールの作成を含む一連の不審なSaaS活動が行われていたことも観測した。これらのルールには曖昧または一般的な名前が付けられており、検知される可能性を下げつつ、受信メールをひそかに転送または削除してアクセスを維持し、正当なユーザーから悪意あるメールボックス活動を隠蔽する意図があったとみられる。
侵害されたSaaSアカウントからのラテラルムーブメントは検知されなかったものの、複数のユーザーデバイスがこの活動を模倣しており、連携したキャンペーンであることが示唆された。
研究者は「特に、3人のユーザーでほぼ同一の受信トレイルールが作成され、別のユーザーでは偽の請求書に関連する別のルールが作成されていた。これは、共通のインフラと手口のセットが用いられている可能性をさらに強める」と指摘した。
あるアカウントではアカウント回復設定を変更しようとする試みが観測され、別のアカウントでは攻撃者がまれな外部IPからパスワードをリセットしたり、セキュリティ情報を更新したりしていた。
これらの行動は、検知を回避しつつ、データ流出やスパム配信の準備段階を整えようとする意図を示唆していた。
翻訳元: https://www.infosecurity-magazine.com/news/attackers-virtual-servers/
