Darktrace araştırmacıları, siber suçluların iş e -posta hesaplarını kaçırmak için ucuz sanal özel sunucular (VPS) kullandıkları yeni bir saldırı dalgası keşfetti. Bu gizli kampanyaların güvenliği nasıl atlattığını öğrenin.
DarkTrace’in yeni bir güvenlik raporu, siber suçluların iş e-posta sistemlerine yönelik sofistike saldırılar yapmak için ucuz, erişimi kolay bulut sunucularını kötüye kullandığı bir eğilim ortaya koydu. Hackread.com ile paylaşılan araştırma, Mart 2025’ten bu yana bu saldırılarda önemli bir artışı ortaya koyuyor ve bir sağlayıcı Hyonix, kötü niyetli etkinlikte iki katına çıkıyor.
Dark Trace’in araştırması, saldırganların SaaS (Hizmet Olarak Yazılım) adlı bir taktik kullandıklarını buldu. Yalnızca şifreleri çalmak yerine, meşru kullanıcılar hala giriş yaparken e -posta hesaplarını devralıyorlar. Bu, geleneksel güvenlik araçlarını atlamalarına ve güvenilir bir kullanıcıymış gibi görünmelerini sağlar.
Saldırı
Bir işletme e -posta hesabına girdikten sonra, saldırganlar gizli kalmaya çalışır. Gelen mesajları gizlice yönlendirmek için belirsiz adlarla ince e -posta kuralları oluştururlar, bu da kullanıcının yanlış olduğunu fark etmesini zorlaştırır. Örneğin, parçalarını silmek için kimlik avı e -postalarını gönderilen klasörden otomatik olarak silebilirler.
Saldırganlar, Hyonix’ten 5 $ ‘lık 5 $ seçeneği gibi herkesin çevrimiçi kiralayabileceği daha büyük bir sunucunun küçük, sanal bir dilimi olan sanal özel sunucular veya VPS kullanarak bunu gerçekleştirebilir. Bu hizmetler, saldırganlara kurmak ve bir temiz IP adresi, kötü niyetli trafiklerinin normal iş faaliyetleriyle karışmasına ve güvenlik kontrollerini geçmesine izin verir.
Darktrace’in soruşturması, saldırganların Mevspace ve Hivelocity gibi diğer sağlayıcıları da kullandığını buldu. Dahası, bir kullanıcının meşru girişinden sadece birkaç dakika sonra meydana gelen uzak konumlardan şüpheli girişler gözlemlediler, daha sonra saldırganlar da önemli bir güvenlik bariyeri olan çok faktörlü kimlik doğrulamasını (MFA) atlayabildiler. Bir durumda, SplashTopStreamer.exe adlı bir uzaktan erişim aracı bulundu, bu da saldırganların veri çalmak için daha kalıcı bir dayanak kazanmaya çalıştığını gösteriyor.
Rapor, bu saldırıların iki özel örneğini vurguladı. İlk durumda, saldırganlar fatura belgeleriyle ilgili e -postaları otomatik olarak silen ve izlerini gizleyecek gizli kurallar oluşturdular.
Başka bir durumda, birden fazla kullanıcının benzer kuralları oluşturuldu ve saldırganlar, uzun vadeli erişimi sürdürme çabası göstererek hesap kurtarma ayarlarını değiştirmeye çalıştı.
Rapor, kuruluşların basit kurallara dayanan eski güvenlik yöntemlerinden uzaklaşmaları gerektiği sonucuna varıyor. Bunun yerine, yeni veya garip bir konumdan giriş yapan bir kullanıcı gibi olağandışı davranışı öğrenebilen ve tespit edebilen sistemlere ihtiyaçları vardır.
Sectigo’da kıdemli bir adam olan Jason Soroko, saldırganların şimdi “güven kiraladığını” belirten bulgular hakkında yorum yaptı. Bu ucuz VPS sağlayıcılarıyla suçluların meşru görünümlü bir ağ adresi alabileceğini ve etkinliklerini güvenilir görünmesini sağlayabildiğini açıkladı. “Posta kutusu kontrol düzlemi haline geliyor,” diye ekledi Soroko, saldırganların hesabı bir tür “gizli politikası” gibi kontrol etmek için ince kurallar kullandığını belirtti.