Группировка Storm-2755 крадет зарплаты канадских сотрудников через фишинг Microsoft 365 с использованием AiTM-атак для кражи сессионных токенов. Злоумышленники перенаправляют средства, обходя MFA. — bleepingcomputer.com
Финансово мотивированная хакерская группировка, известная как Storm-2755, похищает выплаты зарплат канадских сотрудников, захватывая их учетные записи в ходе атак типа «пиратство зарплат» (payroll pirate attacks).
Злоумышленники использовали вредоносные страницы входа в Microsoft 365 для кражи токенов аутентификации и сессионных cookie-файлов жертв, перенаправляя их на домены (например, bluegraintours[.]com), где размещались вредоносные веб-страницы (выводимые на первые позиции в результатах поиска через малвертайзинг или отравление SEO), имитирующие формы входа в Microsoft 365.
Это позволило Storm-2755 обойти многофакторную аутентификацию (MFA) при атаках типа «adversary‑in‑the‑middle» (AiTM) путем повторного использования украденных сессионных токенов вместо повторной аутентификации.
«Вместо сбора только имен пользователей и паролей, фреймворки AiTM проксируют весь поток аутентификации в реальном времени, что позволяет захватывать сессионные cookie-файлы и токены доступа OAuth, выдаваемые после успешной аутентификации», — пояснили в Microsoft.
«Поскольку эти токены представляют собой полностью аутентифицированную сессию, злоумышленники могут повторно использовать их для получения доступа к сервисам Microsoft без запроса учетных данных или MFA, фактически обходя устаревшие средства защиты MFA, не предназначенные для противодействия фишингу».
Получив доступ к учетной записи сотрудника, злоумышленник создавал правила для почтового ящика, которые автоматически перемещали сообщения от сотрудников отдела кадров, содержащие слова «прямой депозит» (direct deposit) или «банк» (bank), в скрытые папки, не давая жертве увидеть переписку.
На следующем этапе они искали «зарплата» (payroll), «HR», «прямой депозит» (direct deposit) и «финансы» (finance), а затем отправляли электронные письма сотрудникам отдела кадров с темой «Вопрос о прямом депозите», чтобы обманом заставить персонал обновить банковские реквизиты.
Там, где социальная инженерия не срабатывала, злоумышленник входил напрямую в программные платформы для управления персоналом, такие как Workday, используя украденную сессию для ручного обновления данных прямого депозита.
Для усиления защиты от атак AiTM и «пиратства зарплат» Microsoft советует защитникам блокировать устаревшие протоколы аутентификации и внедрять MFA, устойчивые к фишингу.
Если обнаружены какие-либо признаки компрометации, следует немедленно отзывать скомпрометированные токены и сессии, удалять вредоносные правила почтового ящика, а также сбрасывать методы MFA и учетные данные для всех затронутых учетных записей.
В октябре Microsoft пресекла другую кампанию по пиратству зарплат, нацеленную на учетные записи Workday с марта 2025 года, в рамках которой киберпреступная группировка Storm-2657 атаковала сотрудников университетов по всей территории США с целью похищения их зарплатных выплат.
В этих атаках Storm-2657 проникала в учетные записи жертв с помощью фишинговых писем и похищала коды MFA, используя тактики AITM, что позволяло злоумышленникам компрометировать учетные записи Exchange Online жертв.
Атаки типа «пиратство зарплат» являются вариантом мошенничества Business Email Compromise (BEC), нацеленного на компании и частных лиц, регулярно осуществляющих банковские переводы. В прошлом году Центр жалоб на интернет-преступления (IC3) ФБР зафиксировал более 24 000 жалоб на мошенничество BEC, что привело к убыткам, превышающим 3 миллиарда долларов, что делает этот вид преступлений вторым по доходности после инвестиционного мошенничества.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan