Киберпреступная группа "Storm-2657", с марта 2025 года проводит кампанию против сотрудников университетов США, направленную на перехват заработных выплат — так называемые атаки “pirate payroll”.
По данным аналитиков Microsoft Threat Intelligence, злоумышленники нацелены на учётные записи в системе Workday, однако другие сторонние HR-платформы (SaaS) также могут находиться под угрозой.
Компания уточняет, что данные атаки не связаны с уязвимостью платформы Workday, а представляют собой финансово мотивированные фишинговые кампании, использующие социальную инженерию и отсутствие многофакторной аутентификации (MFA) или устойчивой к фишингу MFA.
После взлома атакующие создают правила для почтового ящика, которые удаляют уведомления от Workday, скрывая изменения — в том числе перенастройку платёжных реквизитов и перенаправление зарплатных выплат на контролируемые ими банковские счета, получив доступ к профилю жертвы через Single Sign-On (SSO).
В некоторых случаях злоумышленники также регистрировали собственные номера телефонов в качестве MFA-устройств через Workday или Duo MFA, обеспечивая долговременное присутствие и возможность подтверждать дальнейшие вредоносные действия со своих устройств.
Согласно данным FBI Internet Crime Complaint Center (IC3) за 2024 год, зарегистрировано более 21 000 жалоб на мошенничество BEC, приведших к убыткам свыше 2,7 миллиарда долларов — это второй по прибыльности вид киберпреступлений после инвестиционных схем.
Однако, как подчёркивает отчёт, эти цифры отражают только известные случаи, о которых сообщили пострадавшие или которые были обнаружены правоохранительными органами, а значит, реальные потери могут быть значительно выше.
- Источник: https://www.bleepingcomputer[.]com/...rsity-hr-employees-in-payroll-pirate-attacks/
По данным аналитиков Microsoft Threat Intelligence, злоумышленники нацелены на учётные записи в системе Workday, однако другие сторонние HR-платформы (SaaS) также могут находиться под угрозой.
Компания уточняет, что данные атаки не связаны с уязвимостью платформы Workday, а представляют собой финансово мотивированные фишинговые кампании, использующие социальную инженерию и отсутствие многофакторной аутентификации (MFA) или устойчивой к фишингу MFA.
Тактика атакующих
Хакеры применяют различные темы в фишинговых письмах, индивидуально адаптированные под каждую цель. Среди них:- предупреждения о вспышках заболеваний на кампусе,
- сообщения о нарушениях преподавателей,
- письма от имени президента университета,
- уведомления о компенсациях и льготах,
- поддельные документы, якобы отправленные HR-службой.
После взлома атакующие создают правила для почтового ящика, которые удаляют уведомления от Workday, скрывая изменения — в том числе перенастройку платёжных реквизитов и перенаправление зарплатных выплат на контролируемые ими банковские счета, получив доступ к профилю жертвы через Single Sign-On (SSO).
В некоторых случаях злоумышленники также регистрировали собственные номера телефонов в качестве MFA-устройств через Workday или Duo MFA, обеспечивая долговременное присутствие и возможность подтверждать дальнейшие вредоносные действия со своих устройств.
Ход атаки
Microsoft уже идентифицировала пострадавших клиентов и связывается с ними для оказания помощи в ликвидации последствий. В опубликованном отчёте компания также поделилась рекомендациями по расследованию инцидентов и внедрению устойчивой к фишингу MFA, чтобы блокировать подобные атаки и защищать учётные записи пользователей.“Payroll Pirate” как разновидность BEC
Атаки типа “Payroll Pirate” представляют собой разновидность мошенничества с деловой электронной почтой (business email compromise, BEC), нацеленного на компании и частных лиц, регулярно совершающих платежи по банковским переводам.Согласно данным FBI Internet Crime Complaint Center (IC3) за 2024 год, зарегистрировано более 21 000 жалоб на мошенничество BEC, приведших к убыткам свыше 2,7 миллиарда долларов — это второй по прибыльности вид киберпреступлений после инвестиционных схем.
Однако, как подчёркивает отчёт, эти цифры отражают только известные случаи, о которых сообщили пострадавшие или которые были обнаружены правоохранительными органами, а значит, реальные потери могут быть значительно выше.
- Источник: https://www.bleepingcomputer[.]com/...rsity-hr-employees-in-payroll-pirate-attacks/