Siber suçlular, hizmet olarak yazılım (SAAS) platformlarına karşı sofistike saldırıları düzenlemek için sanal özel sunucu (VPS) altyapısını giderek daha fazla kullanıyor ve geleneksel güvenlik kontrollerini atlamak için bu barındırma hizmetlerinin anonimliğini ve temiz itibarını kullanıyor.
2025’in başlarında tanımlanan koordineli bir kampanya, tehdit aktörlerinin Hyonix, ev sahibi Universal, Mevspace ve Hivelocity gibi VPS sağlayıcılarını kurumsal e -posta hesaplarını tehlikeye atmak ve organizasyon sistemlerine kalıcı erişim sağlamak için nasıl sistematik olarak kötüye kullandıklarını gösterdi.
Saldırı metodolojisi, saldırganların VPS tarafından barındırılan altyapıdan SaaS hesaplarına giriş yapmak için uzlaşmış kimlik bilgilerini kullandıkları oturum kaçırma tekniklerine odaklanmaktadır.
.webp)
Bu yaklaşım, kötü niyetli aktörlerin güvenilir barındırma sağlayıcılarından meşru trafik olarak görünerek coğrafi konum tabanlı güvenlik önlemlerini atlatmalarını sağlar.
Yeni sağlanan VPS örnekleriyle ilişkili temiz IP itibarı, saldırganların geleneksel kara liste tabanlı algılama sistemlerinden kaçınarak etkinliklerinin normal iş operasyonlarıyla sorunsuz bir şekilde karışmasını sağlıyor.
.webp)
Mart – Mayıs 2025’e kadar yapılan son araştırmalar, Hyonix’in otonom sistem numarasından (ASN AS931) kaynaklanan anormal giriş faaliyetlerinde bir artış gösterdi ve tehdit aktörleri, birden fazla mağdur ortamında saldırı modellerinde dikkate değer bir tutarlılık gösterdi.
Darktrace analistleri, kullanıcıların uzak coğrafi konumlardan aynı anda hesaplara eriştikleri ve net kimlik bilgisi uzlaşma ve oturum kaçırma belirtilerini gösteren olası seyahat senaryoları da dahil olmak üzere şüpheli etkinlikler belirledi.
Kampanyanın karmaşıklığı, belirteç manipülasyonu ve gizliliği korumak için tasarlanmış gizlenmiş e-posta kurallarının sistematik olarak oluşturulması yoluyla çok faktörlü kimlik doğrulama (MFA) bypass tekniklerini dahil ederek başlangıç erişiminin ötesine uzanır.
Saldırganlar, rutin güvenlik denetimleri sırasında algılamayı önlemek için minimal veya jenerik adlarla gelen kutu kuralları oluşturarak, gelen e -postaları kötü niyetli faaliyetlerini gizlemek için otomatik olarak yönlendirerek veya silerek kalıcılık oluşturdular.
Gelişmiş kalıcılık ve kaçınma mekanizmaları
Tehdit oyuncusu, tipik güvenlik izleme eşiğinin altında çalışan hedefli gelen kutu kural manipülasyon tekniklerini uygulayarak e -posta güvenlik sistemlerinin ileri düzeyde anlaşılmasını gösterdi.
Kötü niyetli kurallar, VIP personelinden iletişim ve finansal belgeler de dahil olmak üzere hassas organizasyonel bilgileri içeren e -postaları özel olarak hedefledi.
Teknik analiz, komut ve kontrol işlemleri için T1071.001 (Web Protokolleri) ile birleştirilmiş MITER ATT & CK Tekniği T1098.002’nin (Exchange E -posta Kuralları) kullanımını ortaya çıkardı.
Uzlaşmanın temel göstergeleri IP adreslerini içerir 38.240.42[.]160 ve 194.49.68[.]244 Hyonix altyapısı ile ilişkili, 91.223.3 ile birlikte[.]147 Mevspace Polonya’dan.
Saldırganlar, meşru kullanıcı oturumlarıyla çakışan ve normal iş iletişimindeki varlıklarını etkili bir şekilde maskeleyen özenle zamanlanmış faaliyetlerle operasyonel güvenliği sürdürürken, altyapı esnekliği için etki alanı akış teknikleri kullandılar.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.