Darktrace: злоумышленники маскируются под легитимный трафик через VPS для атак на SaaS
Изображение: recraft
В отчёте компании Darktrace заявляется, что злоумышленники активно используют виртуальные частные серверы (VPS) для компрометации учётных записей в облачных SaaS-средах. Как указывается в документе, эксперты выявили серию целенаправленных взломов в инфраструктурах клиентов, причём во всех случаях атаки осуществлялись с IP-адресов, зарегистрированных у популярных VPS-провайдеров.
Согласно исследованию, после получения доступа к SaaS-аккаунтам злоумышленники запускали фишинговые рассылки и предпринимали шаги для скрытия своего присутствия. В отчёте подчёркивается, что такие атаки сопровождаются высокой степенью маскировки, синхронизированы с действиями легитимных пользователей и адаптируются к их поведению.
Как уточняется в документе, использование VPS даёт преступникам ряд преимуществ. Во-первых, это позволяет им обходить защиту на основе геолокации, имитируя локальный трафик. Во-вторых, применяются только что арендованные IP-адреса, которые ещё не попали в чёрные списки, что усложняет выявление вторжений. Кроме того, вся инфраструктура остаётся максимально «чистой» в терминах OSINT, поскольку такие провайдеры, как Hyonix и Host Universal, не требуют значительного объёма проверочных данных при регистрации.
В отчёте говорится, что доступность и низкая стоимость VPS делает их особенно привлекательными для атакующих, которым требуется быстрое и анонимное развёртывание масштабируемой инфраструктуры. Darktrace также подчёркивает, что поведение злоумышленников всё чаще сливается с действиями реальных пользователей, а потому классические средства защиты, полагающиеся на сигнатуры и геолокацию, оказываются неэффективными.
Как отмечается в документе, успешная защита от таких атак требует не только усиленного мониторинга аномалий, но и внедрения моделей поведенческого анализа, способных выявлять отклонения внутри привычных паттернов активности пользователей.
