Các máy chủ riêng ảo (VPS) từ lâu đã là công cụ linh hoạt cho các nhà phát triển và doanh nghiệp, cung cấp tài nguyên chuyên dụng trên phần cứng vật lý dùng chung với khả năng kiểm soát và mở rộng nâng cao. Tuy nhiên, các tác nhân đe dọa đang ngày càng khai thác những nền tảng này để thực hiện các tấn công mạng lén lút chống lại môi trường Software-as-a-Service (SaaS).

Tấn Công SaaS thông qua Lợi dụng VPS

Kỹ thuật Che giấu và Bỏ qua Phòng thủ

Bằng cách tận dụng các nhà cung cấp VPS, kẻ tấn công có thể giả lập lưu lượng truy cập nội bộ hợp pháp. Điều này giúp chúng vượt qua các biện pháp phòng thủ dựa trên vị trí địa lý.

Kẻ tấn công còn có thể né tránh giám sát danh tiếng IP thông qua việc sử dụng cơ sở hạ tầng mới, “sạch”. Đồng thời, chúng kết hợp các hoạt động độc hại với hành vi người dùng bình thường, gây khó khăn cho việc phát hiện.

Vai trò của các Nhà Cung cấp VPS

Chiến thuật này, mặc dù không phải là mới, đã gia tăng đáng kể trong các chiến dịch nhắm vào SaaS. Nó cho phép các vụ xâm nhập dai dẳng và có mục tiêu mà các biện pháp bảo mật truyền thống khó phát hiện.

Các nhà cung cấp như Hyonix và Host Universal tạo điều kiện triển khai nhanh chóng với dấu vết OSINT tối thiểu. Điều này cung cấp sự ẩn danh với chi phí phải chăng, hấp dẫn các tội phạm mạng tìm kiếm hoạt động có khả năng mở rộng.

Các cuộc tấn công mạng này thường trùng với thời điểm hoạt động hợp pháp cao điểm, càng làm phức tạp việc phát hiện. Điều này khiến các công cụ dựa trên quy tắc trở nên kém hiệu quả trước các vụ chiếm quyền điều khiển phiên (session hijacking) và lạm dụng thông tin xác thực tinh vi.

Phân tích các Mẫu Tấn công Mạng Thực tế

Nghiên cứu của Darktrace về Hoạt động Bất thường

Trong một cuộc điều tra chi tiết được công bố vào tháng 5 năm 2025, nhóm nghiên cứu mối đe dọa của Darktrace đã phân tích sự gia tăng các hoạt động bất thường liên quan đến cơ sở hạ tầng VPS trên cơ sở khách hàng của họ. Tập trung vào Hyonix (ASN AS931), cuộc điều tra cho thấy sự gia tăng các cảnh báo trong tháng 3 năm 2025. Các cảnh báo này bao gồm các nỗ lực tấn công brute-force, đăng nhập bất thường và thao túng hộp thư liên quan đến lừa đảo (phishing).

Kịch bản Xâm nhập Đầu tiên: Đánh cắp Phiên và Thao túng Hộp thư

Hai mạng lưới khách hàng cho thấy các mẫu thỏa hiệp nổi bật, được truy vết về các địa chỉ IP của VPS. Trong trường hợp đầu tiên, các thiết bị nội bộ cho thấy các hành vi đáng ngờ được phản ánh. Chúng bao gồm các lần đăng nhập từ các điểm cuối hiếm gặp liên quan đến Hyonix và Host Universal thông qua Proton VPN.

Sau đó là việc xóa các email liên quan đến lừa đảo khỏi thư mục “Sent Items”. Các mô hình IDENTITY của Darktrace đã gắn cờ những hành vi này là có khả năng chiếm quyền điều khiển phiên. Các hành vi này được kích hoạt bởi việc di chuyển vị trí địa lý không thể xảy ra và các phiên hoạt động đồng thời, dưới sự phát hiện “Login From Rare Endpoint While User Is Active”.

Quyền truy cập ban đầu có thể bắt nguồn từ lừa đảo hoặc chiếm quyền điều khiển trước đó. Kẻ tấn công đã xóa bằng chứng để duy trì sự lén lút và tiếp tục tấn công mạng.

Kịch bản Thứ hai: Vượt qua MFA và Leo thang Đặc quyền

Sự cố thứ hai liên quan đến các lần đăng nhập phối hợp từ nhiều nhà cung cấp VPS, bao gồm Hyonix, Mevspace và Hivelocity. Mã xác thực đa yếu tố (MFA) đã bị vượt qua thông qua các yêu cầu token.

Sau đó, kẻ tấn công tạo các quy tắc hộp thư bị che giấu để xóa hoặc chuyển hướng email, chẳng hạn như những email tham chiếu tài liệu được chia sẻ của VIP hoặc hóa đơn giả mạo. Mục đích là để che giấu các hoạt động độc hại đang diễn ra. Việc tạo quy tắc được phản ánh trên các tài khoản cho thấy một chiến dịch thống nhất sử dụng các chiến thuật được chia sẻ.

Sự leo thang tiếp theo bao gồm các sửa đổi đặc quyền, như cập nhật cài đặt khôi phục tài khoản và đặt lại mật khẩu từ các IP hiếm. Điều này có khả năng mở đường cho việc rò rỉ dữ liệu hoặc phát tán thư rác. Thư rác gửi đi với các chủ đề liên quan đến tài chính đã được quan sát, cùng với các chỉ số cấp độ mạng như yêu cầu DNS thay đổi tên miền (domain fluxing) và triển khai các công cụ truy cập từ xa như SplashtopStreamer.exe trên các bộ điều khiển miền, gợi ý về việc di chuyển ngang hoặc các nỗ lực duy trì.

Chỉ số Thỏa hiệp (IOCs) và Công cụ Khai thác

Dựa trên các phân tích, các chỉ số thỏa hiệp (IOCs) và công cụ liên quan bao gồm:

• Công cụ truy cập từ xa:SplashtopStreamer.exe
• Hoạt động mạng: Yêu cầu DNS thay đổi tên miền (Domain fluxing DNS requests)
• Cơ sở hạ tầng khai thác:
• Các địa chỉ IP của VPS từ Hyonix (ASN AS931)
• Các địa chỉ IP của VPS từ Host Universal
• Các địa chỉ IP của VPS từ Mevspace
• Các địa chỉ IP của VPS từ Hivelocity
• Kết nối qua Proton VPN

Phát hiện và Ứng phó với Mối đe dọa Mạng

Sức mạnh của AI và Phân tích Hành vi

Theo báo cáo từ Darktrace, AI tự học của họ đã phát hiện sớm các bất thường này. Nó đã xác định các sai lệch như hoạt động SaaS bất thường, xóa email hàng loạt từ các vị trí hiếm và các quy tắc email mới bất thường. Điều này nhấn mạnh tầm quan trọng của phân tích hành vi trong việc chống lại lạm dụng VPS.

Kẻ tấn công khai thác cơ sở hạ tầng đáng tin cậy để giả mạo người dùng, đòi hỏi phải giám sát chủ động các bất thường đăng nhập, thay đổi quy tắc và các mẫu di chuyển không thể xảy ra để phát hiện tấn công kịp thời.

Xem thêm chi tiết tại: Darktrace – From VPS to Phishing: How Darktrace Uncovered SaaS Hijacks Through Virtual Infrastructure Abuse.

Tầm quan trọng của Phản ứng Tự động

Tuy nhiên, với tính năng Phản ứng Tự động (Autonomous Response) bị vô hiệu hóa trong các môi trường bị ảnh hưởng, không có bất kỳ hành động chặn tự động nào xảy ra, cho phép sự leo thang. Việc bật các tính năng như vậy có thể đã vô hiệu hóa mối đe dọa mạng bằng cách cô lập các kết nối VPS đáng ngờ.

Các Bước Phòng ngừa và Giám sát

Để bảo vệ hệ thống khỏi các cuộc tấn công mạng thông qua lạm dụng VPS, các tổ chức cần thực hiện giám sát chủ động. Điều này bao gồm theo dõi các bất thường trong hành vi đăng nhập, mọi thay đổi đối với quy tắc hộp thư, và các mẫu di chuyển vị trí địa lý đáng ngờ của người dùng. Việc áp dụng các giải pháp bảo mật dựa trên AI tự học và kích hoạt các tính năng phản ứng tự động là yếu tố then chốt để chống lại các chiến thuật lén lút này.