一个被追踪为 Storm-2657 的网络犯罪组织自 2025 年 3 月以来一直以美国大学员工为目标,利用“工资盗版”攻击来破坏账户,并通过旨在绕过安全措施的复杂社会工程策略劫持工资支付。微软威胁情报分析师 发现了 该活动观察到,威胁行为者专门针对 Workday 帐户进行工资转移。然而,分析师指出,这些攻击方法并非某一平台独有,这表明其他第三方人力资源 (HR) 软件即服务 (SaaS) 系统也可能容易受到类似渗透技术的攻击。重点仍然是处理敏感员工数据和金融交易的平台。根据微软的一份报告,该行动的规模非常巨大。 “我们观察到三所大学的 11 个账户被成功入侵,这些账户被用来发送 网络钓鱼 该公司表示,该公司详细说明了网络钓鱼活动的广泛性,并详细说明了网络钓鱼活动的广泛性。该报告明确澄清,成功的违规行为并不是 Workday 平台本身软件漏洞的结果。相反,攻击者的成功取决于目标机构的高级社会工程和安全漏洞的结合。微软强调了这一点,并表示:“这些攻击并不代表任何漏洞 在 Workday 平台或产品中,而是出于经济动机的威胁行为者使用复杂的社会工程策略,并利用完全缺乏多因素身份验证 (MFA) 或缺乏防网络钓鱼的 MFA 来危害帐户。”为了执行攻击,Storm-2657 会制作针对每个目标定制的网络钓鱼电子邮件,以提高其可信度和成功的可能性。这些电子邮件的主题各不相同,旨在引起收件人的立即回复。这些欺骗性通信的例子包括有关校园疾病爆发的紧急警告、有关涉嫌教师不当行为的敏感报告以及冒充大学校长的电子邮件。其他诱饵 涉及声称来自 HR 的消息、共享有关员工薪酬和福利的信息或链接到需要用户凭据才能访问的伪造 HR 文件。最初妥协的技术方法涉及使用嵌入网络钓鱼电子邮件中的中间对手 (AITM) 链接。当受害者单击这些链接时,他们会被定向到一个虚假的登录页面,该页面会拦截他们的凭据,包括任何凭据 他们输入的多因素身份验证代码。 MFA 代码被盗使得威胁行为者能够未经授权访问受害者的 Exchange Online 帐户,从而在大学网络中建立最初的立足点。一旦进入被破坏的电子邮件帐户,攻击者就会立即采取措施掩盖他们的踪迹并促进财务盗窃。他们配置新的收件箱规则,旨在自动查找和删除从 Workday 发送的任何警告通知电子邮件。这个动作 防止合法用户收到对其个人资料进行的后续未经授权的更改的警报。通过这种隐藏措施,攻击者可以使用单点登录 (SSO) 从受感染的电子邮件帐户直接进入受害者的 Workday 个人资料。从那里,他们改变工资支付配置,将未来的工资存款重定向到他们控制下的金融账户。受损的帐户还可以作为扩大攻击的启动板。 “遵循 微软补充道:“由于 Workday 中的电子邮件帐户和工资单修改遭到破坏,威胁行为者利用新访问的帐户在组织内部和外部向其他大学分发更多网络钓鱼电子邮件。为了保持长期访问,攻击者通过将自己的电话号码注册为受感染帐户的 MFA 设备来建立持久性。这是通过 Workday 配置文件或关联的 Duo MFA 设置来完成的,从而允许他们 即使密码发生更改,也可以批准未来的恶意行为并逃避检测。作为对这一活动的回应,微软已经确定了受影响的客户,并已与一些客户联系以提供缓解方面的帮助。该公司还发布了详细指南,帮助组织调查这些攻击并实施防网络钓鱼 MFA,这是保护用户帐户免受此类攻击的关键防御措施。这些“工资盗版”攻击被归类为商业电子邮件的变体 妥协 (BEC) 诈骗,广泛针对定期处理电汇付款的企业和个人。
