Компания Darktrace выявила новую тактику целевых фишинговых атак, при которой злоумышленники массово компрометируют корпоративные SaaS-аккаунты, используя виртуальные частные серверы (VPS) для маскировки и обхода традиционных защитных механизмов. Результаты майского расследования 2025 года показали скоординированные действия в различных клиентских средах, где атакующие применяли VPS-провайдеров для скрытного доступа, манипуляций с почтовыми ящиками и сокрытия следов фишинга.
Описание
Механика злоупотребления VPS
Виртуальные частные серверы, изначально созданные для легитимных ИТ-задач, превратились в мощный инструмент злоумышленников. VPS позволяют запускать виртуализированные серверы с выделенными ресурсами при минимальной стоимости и анонимности. Как отмечают эксперты Darktrace, провайдеры вроде Hyonix (ASN AS931) и Host Universal особенно привлекательны для киберпреступников: их инфраструктура быстро развертывается, почти не оставляет следов в открытых источниках (OSINT) и обходит стандартные защиты. Атакующие имитируют "локальный" трафик, чтобы нейтрализовать геолокационные фильтры, используют "чистые" IP-адреса новых VPS для уклонения от проверок репутации и маскируются под обычную активность пользователей. Это делает атаки целенаправленными, устойчивыми и трудно обнаруживаемыми традиционными средствами безопасности.
Раскрытие схемы через аномалии в SaaS
В марте 2025 года система мониторинга Darktrace зафиксировала всплеск подозрительных событий, связанных с ASN Hyonix, включая попытки брутфорса, аномальные логины и создание правил для почтовых ящиков. Углубленный анализ выявил два показательных случая среди клиентских сетей. В первом инциденте 19 мая два внутренних устройства показали идентичные паттерны: входы в учетные записи с редких IP-адресов Hyonix и Host Universal (через Proton VPN) в течение минут после легитимных сессий пользователей из географически удаленных локаций. Модель Darktrace IDENTITY "Login From Rare Endpoint While User Is Active" классифицировала это как признаки перехвата сессии. Сразу после несанкционированного доступа злоумышленники удалили из папки "Отправленные" письма с упоминанием счетов-фактур - вероятно, чтобы скрыть следы рассылки фишинга.
Во втором случае наблюдалась более сложная схема. Координированные логины с IP Hyonix, Mevspace и Hivelocity сопровождались успешным прохождением MFA-аутентификации (через токены), что указывало на углубленный компромисс. Затем атакующие создавали в почтовых ящиках правила с неочевидными названиями (например, "Rule_01"), настроенные на автоматическое удаление писем с темами вроде "Документ от руководства". Как поясняют исследователи, такая обфускация снижает шансы обнаружения при ручном просмотре правил пользователем или автоматизированном аудите. На трех аккаунтах были внедрены идентичные правила, что подтвердило использование единой методики.
Эскалация угроз и упущенные возможности
В обоих кейсах действия злоумышленников не ограничивались почтой. На одной из сетей зафиксированы попытки изменения настроек восстановления аккаунта ("User registered security info") и сброса паролей с подозрительных IP. На другом устройстве зафиксирована запись файла SplashtopStreamer.exe на контроллер домена - легитимного ПО для удаленного доступа, которое могло использоваться для закрепления в системе. Одновременно Darktrace NETWORK обнаружила DNS-запросы к домену с признаками "флуктуации" (частой смены IP), характерной для устойчивых бот-сетей. Примечательно, что функция Autonomous Response, способная автоматически блокировать подключения с подозрительных VPS, была отключена в пораженных средах, что позволило атаке развиваться беспрепятственно.
Выводы для индустрии безопасности
Расследование Darktrace демонстрирует сдвиг тактик атакующих в сторону эксплуатации доверенной VPS-инфраструктуры для атак на SaaS. Поведенческий анализ выявил ключевые индикаторы, незаметные для статических систем: маловероятные "перемещения" пользователей, одновременные сессии с редких IP, создание скрытых почтовых правил и удаление специфических писем. Поскольку злоумышленники всё чаще имитируют легитимные действия, эксперты рекомендуют переходить от правил на основе сигнатур к AI-решениям, непрерывно обучающимся "норме" для каждого пользователя и устройства. Проактивный мониторинг аномалий в сочетании с автоматизированным ответом становится критическим для нейтрализации таких атак на ранних стадиях, особенно с учетом доступности и анонимности VPS-сервисов.
Индикаторы компрометации
IPv4
- 103.131.131.44
- 103.211.53.84
- 103.75.11.134
- 104.168.194.248
- 162.241.121.156
- 178.173.244.27
- 193.32.248.242
- 194.49.68.244
- 38.240.42.160
- 38.255.57.212
- 50.229.155.2
- 51.36.233.224
- 91.223.3.147
IPv6
- 2a02:748:4000:18:0:1:170b:2524
