在數位化時代，SaaS（軟體即服務）已成為企業運營不可或缺的一部分，但隨之而來的安全挑戰也日益嚴峻。近期，一種新型態的攻擊正悄然蔓延：網路犯罪分子利用廉價的虛擬私人伺服器（VPS）發動SaaS劫持攻擊。這種攻擊手法不僅隱蔽，更具備高度的欺騙性，能輕易繞過許多傳統的資安防禦系統。

根據資安公司 Darktrace 的研究報告，自2025年3月以來，這類利用VPS發動的惡意活動顯著增加。與過去單純竊取使用者密碼的方式不同，這種新攻擊模式的目標是在使用者正常登入SaaS帳號時，直接進行帳號劫持。駭客利用這種方式，可以繞過那些依賴靜態規則或黑名單的傳統資安工具，因為他們的惡意活動是在合法的登入會話中進行。

駭客的攻擊手法非常精細。一旦成功劫持SaaS帳號，他們並非立即進行破壞，而是潛伏在系統中。最常見的手段，就是在受害者的電子郵件帳號中，建立隱蔽且名稱模糊的郵件規則。這些規則會將特定的信件自動轉寄到駭客的外部帳號，或直接刪除信件，以此來竊取敏感資訊並掩蓋行蹤。由於這些規則的名稱通常設定得非常普通，如「inbox rule」，讓使用者難以察覺。

這種攻擊之所以如此盛行，主要得益於廉價VPS服務的普及。這些服務商提供價格低廉、易於設置且幾乎沒有使用者審查的伺服器。駭客可以輕易租用這些服務，獲得一個全新、沒有不良紀錄的IP位址。當惡意流量從這些「乾淨」的IP位址發出時，它們能輕易地融入正常的業務流量中，使得傳統的安全系統難以識別為惡意行為。Darktrace的調查也發現，除了Hyonix之外，Mevspace和Hivelocity等其他VPS服務商也成為駭客常用的工具。

更令人擔憂的是，這些駭客甚至能夠 繞過多重身分驗證（MFA）。在某些案例中，研究人員觀察到駭客在使用者完成合法登入後的短短幾分鐘內，就從遙遠的地理位置登入同一個帳號。這表明駭客可能採用了Session劫持或類似技術，直接利用使用者已通過MFA驗證的會話令牌，從而取得帳號控制權。此外，在某些情況下，駭客還會試圖在帳號中建立永久立足點，例如安裝遠端存取工具，以確保即使被發現，也能長期控制該帳號。

報告中列舉的具體案例顯示了這種威脅的嚴重性。在一個案例中，駭客劫持企業帳號後，專門刪除與發票相關的電子郵件，可能導致財務流程中斷和損失。另一個案例則顯示，駭客在多個帳戶中建立相似的惡意規則，並試圖修改帳戶恢復設定，以此來確保長期控制權。

這份報告明確指出，企業必須改變其資安防禦思維。僅僅依賴基於靜態規則或簽章的傳統安全方法已無法有效應對。這些系統只能識別已知的惡意模式，卻無法偵測到隱藏在正常流量中的行為。未來的資安防禦必須轉向 以行為為基礎的偵測系統。這類系統能夠透過機器學習，建立每個使用者或設備的正常行為模式。一旦出現偏離常態的異常行為，例如從新的位置登入或在短時間內建立異常的郵件規則，系統就能立即發出警報，甚至自動進行回應，有效阻止攻擊擴大。

Sectigo的高級研究員Jason Soroko表示，駭客正透過這些廉價的VPS服務來「租用信任」。他們利用看似合法的網路位址，繞過初步防禦，從而進入企業網路內部。因此，企業必須重新審視其雲端資產的防禦策略，並採用能理解使用者行為、具備動態適應能力的先進資安解決方案，以確保在日益複雜的網路威脅環境中，企業的數位資產能夠得到全面且有效的保護。

資料來源：https://hackread.com/cybercriminals-exploit-cheap-vps-saas-hijack-attacks/