Sanal Özel Sunucular (VPS) uzun zamandır geliştiriciler ve işletmeler için çok yönlü araçlar olarak hizmet vererek, gelişmiş kontrol ve ölçeklenebilirlik ile paylaşılan fiziksel donanım hakkında özel kaynaklar sunmaktadır.
Bununla birlikte, tehdit aktörleri, hizmet olarak yazılım (SaaS) ortamlarına karşı gizli saldırıları düzenlemek için bu platformlardan giderek daha fazla yararlanıyor.
VPS altyapısının artan kötüye kullanımı
VPS sağlayıcılarından yararlanarak, saldırganlar meşru yerel trafiği coğrafi konuma dayalı savunmaları atlamak için taklit edebilir, IP itibar izlemesinden taze, temiz altyapı yoluyla kaçabilir ve normal kullanıcı davranışlarıyla kötü niyetli etkinlikleri harmanlayabilir.
Bu taktik, yeni olmasa da, SaaS hedefli kampanyalarda arttı ve geleneksel güvenlik önlemlerinin tespit etme mücadelesi olduğu sürekli ve hedefli müdahaleleri sağladı.
Hyonix ve Host Universal gibi sağlayıcılar, ölçeklenebilir operasyonları amaçlayan siber suçlulara hitap eden uygun fiyatlı anonimlik sağlayarak minimal OSINT ayak izleriyle hızlı konuşlandırmayı kolaylaştırır.
Bu saldırılar genellikle en yüksek meşru etkinlik dönemleriyle hizalanır, tespiti daha da karmaşıklaştırır ve kural tabanlı araçları sofistike oturum kaçırma ve kimlik bilgisi kötüye kullanmaya karşı etkisiz hale getirir.
VPS odaklı uzlaşmalar
Mayıs 2025’te yayınlanan ayrıntılı bir soruşturmada, Darktrace’in tehdit araştırma ekibi, müşteri tabanındaki VPS altyapısıyla bağlantılı anormal faaliyetlerde bir artış analiz etti.
Hyonix’e (ASN AS931) odaklanan prob, kaba kuvvet girişimlerini, olağandışı girişleri ve kimlik avıyla ilişkili gelen kutusu manipülasyonlarını içeren uyarılarda Mart 2025 artışını ortaya çıkardı.
İki müşteri ağı, VPS IPS’ye geri dönen göze çarpan uzlaşma kalıpları sergiledi.
İlk durumda, dahili cihazlar, Hyonix’e bağlı nadir uç noktalardan gelen girişler ve Proton VPN aracılığıyla Universal’a ev sahipliği yapan yansıtılmış şüpheli davranışlar gösterdi, ardından “Gönderilen Öğeler” klasörlerinden kimlik avı ile ilgili e-postaların silinmesi.
Darktrace’in kimlik modelleri bunları, imkansız coğrafi konum seyahati ve eşzamanlı aktif oturumlar tarafından tetiklenen potansiyel oturum kaçırmaları olarak işaretledi, “kullanıcı aktifken nadir uç noktadan giriş” tespiti.
İlk erişim muhtemelen kimlik avı veya önceden kaçırma işleminden kaynaklanmıştır ve saldırganlar gizliliği korumak için kanıtları silmektedir.
İkinci olay, Hyonix, Mevspace ve Hivelocity dahil olmak üzere birden fazla VPS sağlayıcısının koordineli girişlerini içeriyordu.
Saldırganlar daha sonra, devam eden kötü amaçlı etkinlikleri gizlemeyi amaçlayan VIP paylaşılan belgelere veya sahte faturalara atıfta bulunanlar gibi e-postaları silmek veya yönlendirmek için gizlenmiş gelen kutusu kuralları oluşturdular.
Hesaplar arasında yansıtılan kural yaratımları, ortak taktiklerden yararlanan birleşik bir kampanya önerdi.
Daha fazla yükseltme, hesap kurtarma ayarlarının güncellenmesi ve nadir IP’lerden şifre sıfırlamalarını güncellemek, potansiyel olarak veri eksfiltrasyonu veya spam yayma yolunu kaldırma gibi ayrıcalık değişikliklerini içeriyordu.
Finans temalı deneklerle giden spam gözlemlenmiştir, alan akışı DNS istekleri gibi ağ düzeyinde göstergelerin yanı sıra, yanal hareket veya kalıcılık çabalarını ima eden SplashtopStreamer.exe gibi uzaktan erişim araçlarının dağıtımları ve dağıtımlar.
Rapora göre, Darktrace’in kendi kendine öğrenen AI bu anormallikleri erken tespit ederek, olağandışı SaaS etkinlikleri, nadir yerlerden toplu e-posta silme ve anormal yeni e-posta kuralları gibi sapmaları belirledi.
Bununla birlikte, etkilenen ortamlarda otonom tepki devre dışı bırakıldığında, otomatik blok oluşmadı, bu da yükselişe izin verdi. Bu tür özelliklerin etkinleştirilmesi, şüpheli VPS bağlantılarını izole ederek tehditleri etkisiz hale getirebilir.
Bu, saldırganlar kullanıcıları taklit eden güvenilir altyapı kullanırken, giriş anomalilerinin, kural değişikliklerinin ve olası seyahat modellerinin proaktif izlenmesini vurgulayarak VPS kötüye kullanımına karşı mücadelede davranışsal analiz ihtiyacının altını çiziyor.
Uzlaşma göstergeleri
| IOC | Tip | Tanım |
|---|---|---|
| 38.240.42[.]160 | Ivır zıvır | Hyonix ASN (AS931) ile ilişkili |
| 103.75.11[.]134 | Ivır zıvır | Ana Bilgisayar Evrensel / Proton VPN ile ilişkili |
| 162.241.121[.]156 | Ivır zıvır | Kimlik avı ile ilişkili nadir IP |
| 194.49.68[.]244 | Ivır zıvır | Hyonix ASN ile ilişkili |
| 193.32.248[.]242 | Ivır zıvır | Şüpheli Giriş Etkinliği / Mullvad VPN’de kullanılır |
| 50.229.155[.]2 | Ivır zıvır | Nadir Oturum Açma IP / AS 7922 (Comcast-7922) |
| 104.168.194[.]248 | Ivır zıvır | Nadir Oturum Açma IP / AS 54290 (Host Winds) |
| 38.255.57[.]212 | Ivır zıvır | MFA aktivitesi sırasında kullanılan Hyonix IP |
| 103.131.131[.]44 | Ivır zıvır | Giriş ve MFA etkinliğinde kullanılan Hyonix IP |
| 178.173.244[.]27 | Ivır zıvır | Hyonix IP |
| 91.223.3[.]147 | Ivır zıvır | Mevspace Polonya, birden çok girişte kullanılır |
| 2A02: 748: 4000: 18: 0: 1: 170b: 2524 | IPv6 | Hivelocity VPS, birden çok girişte ve MFA aktivitesinde kullanılan |
| 51.36.233[.]224 | Ivır zıvır | Suudi Asn, şüpheli girişte kullanılır |
| 103.211.53[.]84 | Ivır zıvır | Excitel Broadband India, Güvenlik Bilgisi Güncellemesinde Kullanılan |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!