Одна строчка в Outlook — и ваша зарплата ушла хакерам. Новая атака превращает рабочую почту в банкомат
NewsMakerКиберпреступники нашли способ, как полностью переписать правила выплат.
Согласно новому отчету Microsoft Threat Intelligence, финансово мотивированная группа Storm-2657 проводит масштабные атаки на университеты и компании, используя похищенные учетные записи сотрудников для перенаправления зарплат на собственные банковские счета. Специалисты называют этот тип атак «payroll pirate». В ходе кампании злоумышленники стремились получить доступ к облачным HR-платформам, таким как Workday, чтобы изменить платёжные реквизиты жертв.
Расследование Microsoft показало, что кампания активна с первой половины 2025 года. В ней атакующие использовали тщательно продуманные фишинговые письма, направленные на кражу кодов многофакторной аутентификации с помощью схем adversary-in-the-middle ( AitM ). Получив данные входа, они проникали в почтовые ящики сотрудников и корпоративные HR-сервисы, где изменяли параметры выплат. Для сокрытия следов Storm-2657 создавали правила в Outlook, автоматически удаляющие уведомления Workday о любых изменениях профиля.
Microsoft зафиксировала не менее 11 успешных компрометаций учетных записей в трёх университетах. С этих адресов впоследствии рассылались тысячи фишинговых писем на другие кампусы — в общей сложности около 6 тысяч потенциальных жертв в 25 вузах. Часть сообщений выглядела как уведомления о заболевании или расследовании инцидента на территории кампуса. Попадались темы вроде «COVID-like case reported — check your contact status» или «Faculty misconduct report». Другие письма имитировали рассылки HR-отделов и содержали ссылки на якобы официальные документы о выплатах и компенсациях. Для маскировки нередко использовались Google Docs — привычный для академической среды инструмент, из-за чего атаки было сложно обнаружить.
Получив доступ, злоумышленники вносили в профили жертв изменения — чаще всего подменяли банковские счета для перечисления зарплаты. В некоторых случаях они также добавляли собственные номера телефонов в качестве устройств MFA , что позволяло удерживать контроль над профилем без ведома владельца. Такие операции фиксировались в логах Workday как события «Change My Account» или «Manage Payment Elections», однако уведомления о них не доходили до пользователей из-за созданных фильтров в почте.
Microsoft отмечает, что атаки не связаны с уязвимостями в самих продуктах Workday. Проблема — в отсутствии или слабой защите MFA. Поэтому компания призывает организации переходить на устойчивые методы аутентификации, устойчивые к фишингу: ключи FIDO2 , Windows Hello for Business и Microsoft Authenticator. Для администраторов рекомендуется принудительно включить такие методы в Entra ID и внедрить безпарольную авторизацию.
В публикации Microsoft приведены запросы для средств защиты, позволяющие выявить признаки вторжений — от подозрительных правил в почте до изменений платёжных реквизитов и новых MFA-устройств. Также компания сообщает, что уже связалась с некоторыми пострадавшими организациями, предоставив им данные об используемых TTP и рекомендации по восстановлению безопасности.
Согласно новому отчету Microsoft Threat Intelligence, финансово мотивированная группа Storm-2657 проводит масштабные атаки на университеты и компании, используя похищенные учетные записи сотрудников для перенаправления зарплат на собственные банковские счета. Специалисты называют этот тип атак «payroll pirate». В ходе кампании злоумышленники стремились получить доступ к облачным HR-платформам, таким как Workday, чтобы изменить платёжные реквизиты жертв.
Расследование Microsoft показало, что кампания активна с первой половины 2025 года. В ней атакующие использовали тщательно продуманные фишинговые письма, направленные на кражу кодов многофакторной аутентификации с помощью схем adversary-in-the-middle ( AitM ). Получив данные входа, они проникали в почтовые ящики сотрудников и корпоративные HR-сервисы, где изменяли параметры выплат. Для сокрытия следов Storm-2657 создавали правила в Outlook, автоматически удаляющие уведомления Workday о любых изменениях профиля.
Microsoft зафиксировала не менее 11 успешных компрометаций учетных записей в трёх университетах. С этих адресов впоследствии рассылались тысячи фишинговых писем на другие кампусы — в общей сложности около 6 тысяч потенциальных жертв в 25 вузах. Часть сообщений выглядела как уведомления о заболевании или расследовании инцидента на территории кампуса. Попадались темы вроде «COVID-like case reported — check your contact status» или «Faculty misconduct report». Другие письма имитировали рассылки HR-отделов и содержали ссылки на якобы официальные документы о выплатах и компенсациях. Для маскировки нередко использовались Google Docs — привычный для академической среды инструмент, из-за чего атаки было сложно обнаружить.
Получив доступ, злоумышленники вносили в профили жертв изменения — чаще всего подменяли банковские счета для перечисления зарплаты. В некоторых случаях они также добавляли собственные номера телефонов в качестве устройств MFA , что позволяло удерживать контроль над профилем без ведома владельца. Такие операции фиксировались в логах Workday как события «Change My Account» или «Manage Payment Elections», однако уведомления о них не доходили до пользователей из-за созданных фильтров в почте.
Microsoft отмечает, что атаки не связаны с уязвимостями в самих продуктах Workday. Проблема — в отсутствии или слабой защите MFA. Поэтому компания призывает организации переходить на устойчивые методы аутентификации, устойчивые к фишингу: ключи FIDO2 , Windows Hello for Business и Microsoft Authenticator. Для администраторов рекомендуется принудительно включить такие методы в Entra ID и внедрить безпарольную авторизацию.
В публикации Microsoft приведены запросы для средств защиты, позволяющие выявить признаки вторжений — от подозрительных правил в почте до изменений платёжных реквизитов и новых MFA-устройств. Также компания сообщает, что уже связалась с некоторыми пострадавшими организациями, предоставив им данные об используемых TTP и рекомендации по восстановлению безопасности.