ダークトレースの調査によると、脅威アクターが仮想プライベートサーバー(VPS)を悪用してソフトウェア・アズ・ア・サービス(SaaS)アカウントを侵害しています。
このサイバーセキュリティベンダーは、複数の顧客環境にわたる協調的なSaaSアカウントの侵害を特定しました。これらはすべて、さまざまなVPSプロバイダーに関連するIPアドレスからのログインが関与していました。
侵害されたアカウントは、さらなるフィッシング攻撃の実行に利用され、脅威アクターは検知を回避し、持続的なアクセスを可能にするための措置を講じていました。
VPSは、企業が共有物理デバイス上で専用リソースと制御を提供するために広く使用されている正当な仮想サーバーです。
しかし、攻撃者はVPSを悪用して、ローカルのトラフィックを模倣することでジオロケーションベースの防御を回避したり、クリーンで新たに用意されたインフラを使ってIPレピュテーションチェックをすり抜けたり、正当な行動に紛れ込んだりすることができます。
「HyonixやHost UniversalのようなVPSプロバイダーは、迅速なセットアップと最小限のオープンソースインテリジェンス(OSINT)フットプリントを提供しており、検知を困難にしています。これらのサービスは展開が速いだけでなく、手頃な価格であるため、匿名性が高く低コストなインフラを求める攻撃者にとって魅力的です」と、ダークトレースの研究者は8月21日に公開したブログで警告しています。
「このような攻撃は標的型かつ持続的である傾向があり、しばしば正規ユーザーの活動と同時に行われます。この戦術により、従来のセキュリティツールはほとんど効果を発揮できません」と彼らは続けています。
攻撃者がVPSインフラを使ってSaaSを侵害する方法
2025年5月、ダークトレースの顧客のSaaSアカウントに影響を与える複数のインシデントが観測されました。多くのアラートがVPSプロバイダーのHyonixに関連しており、ブルートフォース攻撃、異常なログイン、フィッシングキャンペーンに関連する受信トレイルールの作成などが含まれていました。
あるケースでは、顧客環境内の2つの内部デバイスが、VPSプロバイダーのHyonixおよびHost Universalに関連する珍しい外部IPからログインを試みていました。
これらのログインは、遠隔地からの正規ユーザーの活動から数分以内に発生しており、セッションハイジャックが行われたことを示しています。
ログイン直後、脅威アクターはユーザーの「送信済みアイテム」フォルダーから請求書ドキュメントに関するメールを削除しており、侵害されたアカウントから送信されたフィッシングメールを隠そうとしたことが示唆されます。
研究者はまた、一連の疑わしいSaaSアクティビティが発生していることを観測しました。これには新しいメールルールの作成が含まれており、これらのルールには曖昧または一般的な名前が付けられていました。これは検知の可能性を下げつつ、受信メールを静かにリダイレクトまたは削除してアクセスを維持し、正規ユーザーから悪意のあるメールボックス活動を隠すためと考えられます。
侵害されたSaaSアカウントからのラテラルムーブメント(横展開)は検出されませんでしたが、複数のユーザーデバイスが同様の活動を示しており、協調的なキャンペーンであることが示唆されます。
「特に、3人のユーザーにほぼ同一の受信トレイルールが作成され、別のユーザーには偽の請求書に関連する異なるルールが作成されていました。これは共通のインフラと手法セットが使われている可能性を強めています」と研究者は指摘しています。
あるアカウントでは、アカウント回復設定の変更が試みられ、別のアカウントでは攻撃者が珍しい外部IPからパスワードのリセットやセキュリティ情報の更新を行っていました。
これらの行動は、検知されずにとどまりつつ、将来的なデータ流出やスパム配信の準備をしている意図があることを示唆しています。
翻訳元: https://www.infosecurity-magazine.com/news/attackers-virtual-servers/