Cyberkriminelle nutzen günstige VPS, um SaaS-Hijacking-Angriffe zu starten

Darktrace-Forscher haben eine neue Angriffswelle entdeckt, bei der Cyberkriminelle günstige Virtual Private Server (VPS) nutzen, um geschäftliche E-Mail-Konten zu kapern. Erfahren Sie, wie diese heimlichen Kampagnen die Sicherheitsvorkehrungen umgehen.

Ein neuer Sicherheitsbericht von Darktrace enthüllt einen besorgniserregenden Trend: Cyberkriminelle missbrauchen günstige, leicht zugängliche Cloud-Server, um ausgeklügelte Angriffe auf geschäftliche E-Mail-Systeme durchzuführen. Die Studie, die Hackread.com vorliegt, zeigt einen deutlichen Anstieg dieser Angriffe seit März 2025. Der Anbieter Hyonix verzeichnete sogar eine Verdoppelung der bösartigen Aktivitäten.

Die Untersuchungen von Dark Trace ergaben, dass Angreifer eine Taktik namens SaaS (Software-as-a-Service)-Hijacking verwenden. Anstatt einfach Passwörter zu stehlen, übernehmen sie E-Mail-Konten, während legitime Benutzer noch angemeldet sind. Dadurch können sie herkömmliche Sicherheitstools umgehen und als vertrauenswürdige Benutzer erscheinen.

Sobald die Angreifer in ein geschäftliches E-Mail-Konto eingedrungen sind, versuchen sie, unauffällig zu bleiben. Sie erstellen subtile E-Mail-Regeln mit vagen Namen, um eingehende Nachrichten heimlich umzuleiten, sodass der Benutzer kaum etwas bemerkt. Beispielsweise löschen sie Phishing-E-Mails automatisch aus dem Ordner „Gesendet“, um ihre Spuren zu verwischen.

Die Angreifer können dies mithilfe von Virtual Private Servern (VPS) erreichen. Dabei handelt es sich im Wesentlichen um einen kleinen, virtuellen Teil eines größeren Servers, den jeder online für sehr geringe Kosten mieten kann, beispielsweise für 5 Dollar pro Monat bei Hyonix. Diese Dienste sind schnell eingerichtet und bieten Angreifern eine saubere IP-Adresse, sodass ihr bösartiger Datenverkehr sich in die normale Geschäftstätigkeit einfügen und Sicherheitskontrollen umgehen kann.

Die Untersuchung von Darktrace ergab, dass Angreifer auch andere Anbieter wie Mevspace und Hivelocity nutzten. Darüber hinaus beobachteten sie verdächtige Anmeldungen von entfernten Standorten, die nur wenige Augenblicke nach der legitimen Anmeldung eines Benutzers erfolgten. Dadurch konnten die Angreifer auch die Multi-Faktor-Authentifizierung ( MFA ), eine wichtige Sicherheitsbarriere, umgehen. In einem Fall wurde ein Remote-Access-Tool namens SplashtopStreamer.exe gefunden, was darauf hindeutet, dass die Angreifer versuchten, einen dauerhafteren Zugang zum Datendiebstahl zu erlangen.

Der Bericht hob zwei konkrete Beispiele für diese Angriffe hervor. Im ersten Fall erstellten die Angreifer versteckte Regeln, die E-Mails im Zusammenhang mit Rechnungsdokumenten automatisch löschten, wahrscheinlich um ihre Spuren zu verwischen.

In einem anderen Fall wurden für mehrere Benutzer ähnliche Regeln erstellt und die Angreifer versuchten sogar, die Kontowiederherstellungseinstellungen zu ändern, was auf den Versuch hindeutet, den Zugriff langfristig aufrechtzuerhalten.

SaaS-Hijacking nimmt zu: VPS-Mieten schon ab 5 US-Dollar — Beide Fälle werden von DarkTrace erklärt

Der Bericht kommt zu dem Schluss, dass Unternehmen sich von alten Sicherheitsmethoden verabschieden müssen, die auf einfachen Regeln beruhen. Stattdessen benötigen sie Systeme, die lernen und ungewöhnliches Verhalten erkennen können, beispielsweise wenn sich ein Benutzer von einem neuen oder unbekannten Standort aus anmeldet.

Jason Soroko , Senior Fellow bei Sectigo, kommentierte die Ergebnisse mit der Aussage, dass Angreifer nun „Vertrauen mieten“. Er erklärte, dass Kriminelle mit diesen günstigen VPS-Anbietern eine legitim wirkende Netzwerkadresse erhalten und so ihre Aktivitäten vertrauenswürdig erscheinen lassen können. „Das Postfach wird zur Kontrollebene“, fügte Soroko hinzu und wies darauf hin, dass Angreifer subtile Regeln verwenden, um das Konto zu kontrollieren, ähnlich einer „Stealth-Politik“.