Eine als Storm-2657 verfolgte Cyberkriminalitätsgruppe hat es seit März 2025 auf Mitarbeiter von US-Universitäten abgesehen und nutzt „Gehaltspiraten“-Angriffe, um Konten zu kompromittieren und Gehaltszahlungen durch ausgefeilte Social-Engineering-Taktiken zu kapern, die Sicherheitsmaßnahmen umgehen sollen. Microsoft Threat Intelligence-Analysten, die entdeckt Die Kampagne stellte fest, dass die Bedrohungsakteure speziell Workday-Konten zur Umleitung von Gehaltsabrechnungen ins Visier nehmen. Die Analysten stellten jedoch fest, dass die Angriffsmethoden nicht nur auf eine Plattform beschränkt sind, was darauf hindeutet, dass auch andere HR-Software-as-a-Service-Systeme (SaaS) von Drittanbietern für ähnliche Infiltrationstechniken anfällig sein könnten. Der Fokus liegt weiterhin auf Plattformen, die sensible Mitarbeiterdaten und Finanztransaktionen abwickeln. Laut einem Bericht von Microsoft war das Ausmaß der Operation erheblich. „Wir haben 11 erfolgreich kompromittierte Konten an drei Universitäten beobachtet, die zum Senden genutzt wurden Phishing E-Mails an fast 6.000 E-Mail-Konten an 25 Universitäten“, gab das Unternehmen an und beschrieb dabei die weit verbreitete Natur der Phishing-Angriffe. Der Bericht stellt ausdrücklich klar, dass die erfolgreichen Verstöße nicht das Ergebnis einer Software-Schwachstelle innerhalb der Workday-Plattform selbst sind. Vielmehr hängt der Erfolg der Angreifer von einer Kombination aus fortgeschrittenem Social Engineering und Sicherheitslücken in den angegriffenen Institutionen ab. Microsoft betonte diesen Punkt mit den Worten: „Diese Angriffe stellen keine Schwachstelle dar.“ die Workday-Plattform oder -Produkte, sondern finanziell motivierte Bedrohungsakteure, die ausgefeilte Social-Engineering-Taktiken nutzen und das völlige Fehlen einer Multifaktor-Authentifizierung (MFA) oder das Fehlen einer Phishing-resistenten MFA ausnutzen, um Konten zu kompromittieren.“ Um die Angriffe auszuführen, erstellt Storm-2657 Phishing-E-Mails, die individuell auf jedes Ziel zugeschnitten sind, um deren Glaubwürdigkeit und Erfolgswahrscheinlichkeit zu erhöhen. Die Themen dieser E-Mails sind vielfältig und so gestaltet, dass sie beim Empfänger eine sofortige Reaktion hervorrufen. Beispiele für diese betrügerische Kommunikation sind dringende Warnungen vor Krankheitsausbrüchen auf dem Campus, vertrauliche Berichte über mutmaßliches Fehlverhalten von Lehrkräften und E-Mails, in denen der Universitätspräsident vorgetäuscht wird. Andere Bei den Verlockungen handelt es sich um Nachrichten, die angeblich von der Personalabteilung stammen und Informationen über Mitarbeitervergütungen und -leistungen weitergeben oder auf gefälschte HR-Dokumente verweisen, für deren Zugriff die Anmeldeinformationen des Benutzers erforderlich sind. Die technische Methode für die anfängliche Kompromittierung umfasst die Verwendung von AITM-Links (Adversary-in-the-Middle), die in die Phishing-E-Mails eingebettet sind. Wenn ein Opfer auf diese Links klickt, wird es zu einer gefälschten Anmeldeseite weitergeleitet, die seine Anmeldeinformationen abfängt, einschließlich aller die von ihnen eingegebenen Multifaktor-Authentifizierungscodes. Dieser Diebstahl von MFA-Codes ermöglicht es den Bedrohungsakteuren, sich unbefugten Zugriff auf das Exchange Online-Konto des Opfers zu verschaffen und sich so einen ersten Zugang zum Netzwerk der Universität zu verschaffen. Sobald die Angreifer Zugang zu einem gehackten E-Mail-Konto haben, ergreifen sie sofort Maßnahmen, um ihre Spuren zu verwischen und den Finanzdiebstahl zu erleichtern. Sie konfigurieren neue Posteingangsregeln, die darauf ausgelegt sind, alle von Workday gesendeten Warnbenachrichtigungs-E-Mails automatisch zu finden und zu löschen. Diese Aktion verhindert, dass der legitime Benutzer auf spätere unbefugte Änderungen an seinem Profil aufmerksam gemacht wird. Mit dieser Verschleierung nutzen die Angreifer Single Sign-On (SSO), um vom kompromittierten E-Mail-Konto direkt zum Workday-Profil des Opfers zu wechseln. Von dort aus ändern sie die Konfiguration der Gehaltszahlungen und leiten zukünftige Gehaltseinzahlungen auf Finanzkonten unter ihrer Kontrolle um. Die kompromittierten Konten dienen auch als Startrampe für die Erweiterung Angriff. „Nach der Kompromittierung von E-Mail-Konten und den Gehaltsabrechnungsänderungen in Workday nutzte der Bedrohungsakteur neu zugegriffene Konten, um weitere Phishing-E-Mails zu verbreiten, sowohl innerhalb der Organisation als auch extern an andere Universitäten“, fügte Microsoft hinzu. Um den Zugriff langfristig aufrechtzuerhalten, stellten die Angreifer eine Persistenz her, indem sie ihre eigenen Telefonnummern als MFA-Geräte für die kompromittierten Konten registrierten. Dies erfolgte entweder über die Workday-Profile oder das zugehörige Duo MFA-Einstellungen, die es ihnen ermöglichen, zukünftige böswillige Aktionen zu genehmigen und der Erkennung zu entgehen, selbst wenn Passwörter geändert wurden. Als Reaktion auf die Kampagne hat Microsoft die betroffenen Kunden identifiziert und sich an einige gewandt, um bei der Schadensbegrenzung zu helfen. Das Unternehmen veröffentlichte außerdem detaillierte Leitlinien, die Unternehmen dabei helfen sollen, diese Angriffe zu untersuchen und Phishing-resistentes MFA zu implementieren, eine wichtige Verteidigungsmaßnahme zum Schutz von Benutzerkonten vor dieser Art von Kompromittierung. Diese „Lohnpiraten“-Angriffe werden klassifiziert als eine Variante von Business Email Compromise (BEC)-Betrügereien, die sich im Großen und Ganzen an Unternehmen und Einzelpersonen richten, die regelmäßig Überweisungen abwickeln.
