Grupa cyberprzestępcza tropiona jako Storm-2657 atakuje pracowników uniwersytetów w USA od marca 2025 r., wykorzystując ataki „piratów płacowych” w celu włamywania się na konta i przejmowania wypłat za pomocą wyrafinowanych taktyk inżynierii społecznej mających na celu ominięcie środków bezpieczeństwa. Analitycy Microsoft Threat Intelligence, którzy odkryty w ramach kampanii zaobserwowano, że ugrupowania zagrażające w szczególności atakują konta Workday w celu przekierowania płac. Analitycy zauważyli jednak, że metody ataku nie są ograniczone wyłącznie do jednej platformy, co wskazuje, że inne systemy oprogramowania jako usługi (SaaS) zasobów ludzkich (HR) również mogą być podatne na podobne techniki infiltracji. W centrum uwagi pozostają platformy obsługujące wrażliwe dane pracowników i transakcje finansowe. Z raportu Microsoftu wynika, że skala operacji była znacząca. „Zaobserwowaliśmy 11 pomyślnie przejętych kont na trzech uniwersytetach, które były wykorzystywane do wysyłania wiadomości phishing wiadomości e-mail na prawie 6000 kont e-mail na 25 uniwersytetach” – stwierdziła firma, opisując szczegółowo powszechny charakter tego ataku phishingowego. W raporcie wyraźnie wyjaśniono, że udane naruszenia nie są wynikiem luki w oprogramowaniu samej platformy Workday. Zamiast tego sukces atakujących zależy od połączenia zaawansowanej inżynierii społecznej i luk w zabezpieczeniach docelowych instytucji. Microsoft podkreślił ten punkt, stwierdzając: „Te ataki nie reprezentują żadnego luki w zabezpieczeniach platformy lub produktów Workday, ale raczej ugrupowania motywowane finansowo, stosujące wyrafinowane taktyki inżynierii społecznej i wykorzystujące całkowity brak uwierzytelniania wieloczynnikowego (MFA) lub brak MFA odpornego na phishing w celu naruszenia bezpieczeństwa kont”. Aby przeprowadzić ataki, Storm-2657 tworzy wiadomości e-mail phishingowe, które są dostosowane do każdego celu, aby zwiększyć ich wiarygodność i prawdopodobieństwo powodzenia. Tematyka tych e-maili jest zróżnicowana i zaprojektowana tak, aby wywołać natychmiastową reakcję odbiorcy. Przykładami takich oszukańczych komunikatów są pilne ostrzeżenia o epidemiach chorób na kampusie, poufne raporty dotyczące domniemanego niewłaściwego postępowania wykładowców oraz e-maile podszywające się pod rektora uniwersytetu. Inne przynęty obejmują wiadomości rzekomo pochodzące od działu HR, udostępniające informacje na temat wynagrodzeń i świadczeń pracowniczych lub zawierające linki do sfałszowanych dokumentów HR, do których dostęp wymaga danych uwierzytelniających użytkownika. Techniczna metoda wstępnego kompromisu polega na wykorzystaniu łączy typu adversary-in-the-middle (AITM) osadzonych w wiadomościach phishingowych. Gdy ofiara kliknie te linki, zostaje przekierowana na fałszywą stronę logowania, która przechwytuje jej dane uwierzytelniające, w tym wszelkie wprowadzone przez nich kody uwierzytelniania wielopoziomowego. Kradzież kodów MFA umożliwia cyberprzestępcom uzyskanie nieautoryzowanego dostępu do konta Exchange Online ofiary, ustanawiając tym samym początkowy punkt zaczepienia w sieci uniwersyteckiej. Po wejściu na naruszone konto e-mail napastnicy podejmują natychmiastowe kroki, aby zatrzeć ślady i ułatwić kradzież finansową. Konfigurują nowe reguły skrzynki odbiorczej zaprojektowane tak, aby automatycznie znajdować i usuwać wszelkie e-maile z powiadomieniami ostrzegawczymi wysyłane z Workday. To działanie zapobiega powiadamianiu uprawnionego użytkownika o późniejszych nieautoryzowanych zmianach dokonanych w jego profilu. Po zastosowaniu tego ukrycia napastnicy korzystają z pojedynczego logowania (SSO), aby przejść z zaatakowanego konta e-mail bezpośrednio do profilu Workday ofiary. Stamtąd zmieniają konfiguracje wypłat wynagrodzeń, przekierowując przyszłe depozyty płacowe na kontrolowane przez siebie konta finansowe. Zaatakowane konta służą również jako punkt wyjścia do rozszerzania atak. „Po włamaniu na konta e-mail i modyfikacjach listy płac w Workday osoba atakująca wykorzystała nowo uzyskane konta do dystrybucji kolejnych wiadomości e-mail phishingowych, zarówno wewnątrz organizacji, jak i na zewnątrz, do innych uniwersytetów” – dodał Microsoft. Aby zachować długoterminowy dostęp, napastnicy ustalili trwałość, rejestrując własne numery telefonów jako urządzenia MFA dla zaatakowanych kont. Dokonano tego za pośrednictwem profili Workday lub powiązanego konta MFA Duo ustawień, umożliwiając im zatwierdzanie przyszłych złośliwych działań i unikanie wykrycia, nawet jeśli hasła zostały zmienione. W odpowiedzi na kampanię firma Microsoft zidentyfikowała klientów, których dotyczy problem, i skontaktowała się z niektórymi z nich, aby zapewnić pomoc w zakresie środków zaradczych. Firma opublikowała również szczegółowe wytyczne, które mają pomóc organizacjom zbadać te ataki i wdrożyć odporną na phishing usługę MFA, kluczową ochronę chroniącą konta użytkowników przed tego typu zagrożeniami. Te ataki „piratów płacowych” są tajne jako wariant oszustw typu Business Email Compromise (BEC), które są skierowane głównie do firm i osób fizycznych regularnie przetwarzających płatności przelewem bankowym.
