Os servidores privados virtuais (VPs) há muito tempo servem como ferramentas versáteis para desenvolvedores e empresas, oferecendo recursos dedicados em hardware físico compartilhado com controle e escalabilidade aprimorados.
No entanto, os atores de ameaças estão cada vez mais explorando essas plataformas para orquestrar ataques furtivos contra ambientes de software como serviço (SaaS).
Crescente abuso de infraestrutura VPS
Ao alavancar os provedores de VPS, os invasores podem imitar o tráfego local legítimo para ignorar as defesas baseadas em geolocalização, evitar o monitoramento da reputação de IP por meio de infraestrutura fresca e limpa e mistura atividades maliciosas com comportamento normal do usuário.
Essa tática, embora não seja nova, aumentou em campanhas direcionadas a SaaS, permitindo intrusões persistentes e direcionadas que as medidas de segurança tradicionais lutam para detectar.
Fornecedores como Hyonix e hospedeiro universal facilitam a implantação rápida com as pegadas mínimas do OSINT, fornecendo anonimato acessível que atrai os cibercriminosos que visam operações escaláveis.
Esses ataques geralmente se alinham com os períodos de atividade legítima de pico, complicando ainda mais as ferramentas baseadas em regras ineficazes contra seqüestros sofisticados e uso indevido de credenciais.
Compromissos acionados por VPS
Em uma investigação detalhada divulgada em maio de 2025, a equipe de pesquisa de ameaças da Darktrace analisou um aumento em atividades anômalas ligadas à infraestrutura do VPS em sua base de clientes.
Focando no Hyonix (ASN AS931), a sonda revelou um aumento de março de 2025 em alertas envolvendo Tentativas de força brutaLogins incomuns e manipulações da caixa de entrada relacionadas a phishing.
Duas redes de clientes exibiram padrões de compromisso de destaque, rastreados até o VPS IPS.
No primeiro caso, os dispositivos internos mostraram comportamentos suspeitos espelhados, incluindo logins de pontos de extremidade raros vinculados à Hyonix e hospedeiro Universal via Proton VPN, seguidos por deleções de e-mails relacionados a phishing de pastas “enviadas”.
Os modelos de identidade da Darktrace sinalizaram -os como seqüências de sessão em potencial, desencadeadas por viagens geolocalizadas improváveis e sessões ativas simultâneas, sob o “login do ponto de extremidade raro enquanto o usuário está ativo”.
O acesso inicial provavelmente surgiu de phishing ou seqüestro prévio, com os invasores excluindo evidências para manter furtividade.
O segundo incidente envolveu logins coordenados de vários provedores de VPS, incluindo Hyonix, Mevspace e Hivelocity, com o MFA ignorado por reivindicações de token.
Os atacantes criaram regras de entrada ofusca para excluir ou redirecionar e-mails, como aqueles que referenciam documentos compartilhados com VIP ou faturas falsas, com o objetivo de ocultar atividades maliciosas em andamento.
As criações de regras espelhadas entre as contas sugeriram uma campanha unificada que alavancava táticas compartilhadas.
A escalada adicional incluiu modificações de privilégios, como atualizar as configurações de recuperação de contas e as redefinições de senha de IPs raros, potencialmente abrindo caminho para a exfiltração de dados ou a disseminação de spam.
Observou-se spam de saída com indivíduos com temas financeiros, juntamente com indicadores em nível de rede, como solicitações de DNS de fluxo de domínio e implantações de ferramentas de acesso remoto, como SplashTopstreamer.exe nos controladores de domínio, sugerindo os esforços de movimento ou persistência.
De acordo com o relatórioA IA de auto-aprendizado de Darktrace detectou essas anomalias antecipadamente, identificando desvios como atividades incomuns de SaaS, deleções de email em massa de locais raros e novas regras de email anômalas.
No entanto, com a resposta autônoma desativada em ambientes afetados, não ocorreu blocos automatizados, permitindo a escalada. A habilitação de tais recursos poderia ter ameaças neutralizadas, isolando conexões suspeitas de VPS.
Isso ressalta a necessidade de análises comportamentais no combate ao abuso de VPS, pois os invasores exploram a infraestrutura confiável para imitar os usuários, enfatizando o monitoramento proativo de anomalias de login, mudanças de regras e padrões de viagem improváveis.
Indicadores de compromisso
| COI | Tipo | Descrição |
|---|---|---|
| 38.240.42[.]160 | IP | Associado ao Hyonix ASN (AS931) |
| 103.75.11[.]134 | IP | Associado ao hospedeiro universal / VPN de prótons |
| 162.241.121[.]156 | IP | IP raro associado ao phishing |
| 194.49.68[.]244 | IP | Associado ao Hyonix Asn |
| 193.32.248[.]242 | IP | Usado em atividade de login suspeita / VPN de Mullvad |
| 50.229.155[.]2 | IP | IP de login raro / AS 7922 (Comcast-7922) |
| 104.168.194[.]248 | IP | IP de login raro / AS 54290 (Hostwinds) |
| 38.255.57[.]212 | IP | Hyonix IP usado durante a atividade da MFA |
| 103.131.131[.]44 | IP | Hyonix IP usado na atividade de login e MFA |
| 178.173.244[.]27 | IP | Hyonix IP |
| 91.223.3[.]147 | IP | Mevspace Polônia, usada em vários logins |
| 2A02: 748: 4000: 18: 0: 1: 170b: 2524 | IPv6 | VPs de Hivelocity, usados em múltiplos logins e atividade de MFA |
| 51.36.233[.]224 | IP | Saudita Asn, usado em login suspeito |
| 103.211.53[.]84 | IP | Excitel Broadband India, usado na atualização de informações de segurança |
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!