Изображение: Ryan Stone
(unsplash)
С марта 2025 года киберпреступная группировка Storm-2657 ведёт масштабную кампанию против университетов США, нацеленную на хищение заработной платы сотрудников. Об этом говорится в отчёте аналитиков Microsoft Threat Intelligence, опубликованном в четверг. Злоумышленники используют продвинутые схемы социальной инженерии и слабости в защите учётных записей, чтобы проникать в системы управления персоналом, такие как Workday.
По данным Microsoft, уже подтверждено 11 успешных компрометаций учётных записей в трёх университетах. Эти учётки затем использовались для рассылки фишинговых писем почти на 6000 адресов в 25 учебных заведениях. Цель атаки — перенаправление выплат на счета, контролируемые хакерами.
Кампания строится на подмене легитимных уведомлений от HR-служб и имитации важных сообщений. Злоумышленники рассылают письма от имени сотрудников университетов, ректората, HR-департаментов или даже с темами, касающимися якобы вспышек заболеваний, нарушений правил преподавания и перерасчётов выплат. Цель — заставить получателя перейти по фишинговой ссылке.
В рамках фишинга используются ссылки типа «злоумышленник посередине» (Adversary-in-the-Middle, AITM), позволяющие перехватывать коды многофакторной аутентификации (MFA). После получения доступа к почтовому ящику через Exchange Online, злоумышленники создают скрытые правила обработки почты — например, автоматическое удаление уведомлений от Workday, что позволяет незаметно менять настройки выплат.
Получив доступ к системе Workday через единый вход (SSO), преступники изменяют банковские реквизиты для зачисления зарплаты. Далее учётная запись используется для рассылки новых фишинговых сообщений — как внутри того же учреждения, так и в другие вузы. Таким образом атака приобретает цепной характер.
Microsoft подчёркивает: уязвимость заключается не в самой платформе Workday, а в отсутствии надёжной многофакторной защиты. В некоторых случаях преступники вручную регистрируют свои устройства в качестве доверенных MFA-устройств, используя настройки Duo или саму систему Workday. Это позволяет им продолжать активность даже после первичного взлома и блокировать попытки восстановления доступа.
По оценке Microsoft, атаки носят финансово мотивированный характер. Несмотря на отсутствие взлома инфраструктуры SaaS-платформ, ущерб от таких действий может быть значительным. В частности, нарушается расчёт заработной платы, возникает риск утечки персональных данных, а под удар попадают и репутация образовательных учреждений, и благополучие их сотрудников.
Оригинал публикации на сайте CISOCLUB: "Хакеров подозревают в атаках на университеты США с целью хищения зарплат сотрудников".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.