Финансово мотивированная хакерская группировка, известная как Storm-2657, активно проводит кампанию под кодовым названием "Payroll Pirates" (Зарплатные пираты). Основная цель злоумышленников — хищение заработной платы сотрудников. В качестве мишеней выбраны организации в США, с особым акцентом на сектор высшего образования. Атака направлена не на уязвимости в программном обеспечении, а на компрометацию учетных записей сотрудников на SaaS-платформах для управления персоналом, таких как Workday.
Атака начинается с рассылки фишинговых писем, призванных вызвать у получателя чувство срочности. В качестве приманки используются темы, связанные с уведомлениями о болезнях или служебными записками о нарушениях на территории кампуса. Эти письма содержат вредоносную ссылку, ведущую на фишинговый сайт, работающий по принципу "Adversary-in-the-Middle" (AitM, «Атакующий посередине»). Данная технология позволяет в реальном времени перехватывать не только логины и пароли, но и одноразовые коды многофакторной аутентификации (MFA).
Используя похищенные учетные данные и перехваченные MFA-коды, злоумышленники получают доступ к почтовому ящику сотрудника в Exchange Online. Далее, применяя технологию единого входа (Single Sign-On, SSO), они получают контроль над профилем жертвы в HR-платформе Workday, которая интегрирована с корпоративной почтой.
Проникнув в HR-систему, атакующие изменяют конфигурацию выплат заработной платы скомпрометированного сотрудника. Они заменяют банковские реквизиты жертвы на данные счетов, находящихся под их собственным контролем. В результате все последующие зарплатные перечисления поступают напрямую хакерам.
Для сокрытия своих действий и предотвращения быстрого обнаружения атаки Storm-2657 применяет методы уклонения от защиты. В почтовом ящике жертвы создаются специальные правила, которые автоматически и безвозвратно удаляют любые уведомительные письма от системы Workday, предупреждающие об изменении банковских данных или других настроек профиля. Таким образом, сотрудник долгое время остается в неведении о подмене.
Чтобы обеспечить себе постоянный доступ к скомпрометированной учетной записи, даже если пользователь сменит пароль, хакеры добавляют собственные устройства для многофакторной аутентификации. Они регистрируют свои номера телефонов в профиле жертвы, что позволяет им в будущем самостоятельно генерировать коды доступа.
Скомпрометированные учетные записи используются не только для кражи средств. Они становятся плацдармом для дальнейшего распространения атаки. С взломанных адресов хакеры рассылают новые волны фишинговых писем другим сотрудникам внутри той же организации, а также в другие университеты, тем самым расширяя масштабы кампании "Payroll Pirates".
По данным команды Microsoft Threat Intelligence, одна из таких кампаний была зафиксирована в первой половине 2025 года. Начиная с марта 2025 года, аналитики Microsoft наблюдали 11 успешно скомпрометированных учетных записей в трех разных университетах. Эти 11 аккаунтов были использованы для рассылки фишинговых писем почти на 6000 электронных адресов в 25 университетах.
Для противодействия подобным атакам рекомендуется внедрять устойчивые к фишингу методы многофакторной аутентификации. Наиболее эффективным решением является использование беспарольных методов, в частности, физических ключей безопасности, соответствующих стандарту FIDO2. Такие ключи невозможно скомпрометировать удаленно с помощью техник AitM.
Организациям следует проводить регулярные проверки учетных записей сотрудников на предмет подозрительной активности. Необходимо обращать внимание на появление неизвестных или несанкционированных устройств, зарегистрированных для MFA, а также на наличие неожиданных или вредоносных правил обработки входящих писем в почтовых ящиках. Помимо Microsoft, на данную кампанию также обращали внимание аналитики из компаний Silent Push, Malwarebytes и .
Изображение носит иллюстративный характер
Атака начинается с рассылки фишинговых писем, призванных вызвать у получателя чувство срочности. В качестве приманки используются темы, связанные с уведомлениями о болезнях или служебными записками о нарушениях на территории кампуса. Эти письма содержат вредоносную ссылку, ведущую на фишинговый сайт, работающий по принципу "Adversary-in-the-Middle" (AitM, «Атакующий посередине»). Данная технология позволяет в реальном времени перехватывать не только логины и пароли, но и одноразовые коды многофакторной аутентификации (MFA).
Используя похищенные учетные данные и перехваченные MFA-коды, злоумышленники получают доступ к почтовому ящику сотрудника в Exchange Online. Далее, применяя технологию единого входа (Single Sign-On, SSO), они получают контроль над профилем жертвы в HR-платформе Workday, которая интегрирована с корпоративной почтой.
Проникнув в HR-систему, атакующие изменяют конфигурацию выплат заработной платы скомпрометированного сотрудника. Они заменяют банковские реквизиты жертвы на данные счетов, находящихся под их собственным контролем. В результате все последующие зарплатные перечисления поступают напрямую хакерам.
Для сокрытия своих действий и предотвращения быстрого обнаружения атаки Storm-2657 применяет методы уклонения от защиты. В почтовом ящике жертвы создаются специальные правила, которые автоматически и безвозвратно удаляют любые уведомительные письма от системы Workday, предупреждающие об изменении банковских данных или других настроек профиля. Таким образом, сотрудник долгое время остается в неведении о подмене.
Чтобы обеспечить себе постоянный доступ к скомпрометированной учетной записи, даже если пользователь сменит пароль, хакеры добавляют собственные устройства для многофакторной аутентификации. Они регистрируют свои номера телефонов в профиле жертвы, что позволяет им в будущем самостоятельно генерировать коды доступа.
Скомпрометированные учетные записи используются не только для кражи средств. Они становятся плацдармом для дальнейшего распространения атаки. С взломанных адресов хакеры рассылают новые волны фишинговых писем другим сотрудникам внутри той же организации, а также в другие университеты, тем самым расширяя масштабы кампании "Payroll Pirates".
По данным команды Microsoft Threat Intelligence, одна из таких кампаний была зафиксирована в первой половине 2025 года. Начиная с марта 2025 года, аналитики Microsoft наблюдали 11 успешно скомпрометированных учетных записей в трех разных университетах. Эти 11 аккаунтов были использованы для рассылки фишинговых писем почти на 6000 электронных адресов в 25 университетах.
Для противодействия подобным атакам рекомендуется внедрять устойчивые к фишингу методы многофакторной аутентификации. Наиболее эффективным решением является использование беспарольных методов, в частности, физических ключей безопасности, соответствующих стандарту FIDO2. Такие ключи невозможно скомпрометировать удаленно с помощью техник AitM.
Организациям следует проводить регулярные проверки учетных записей сотрудников на предмет подозрительной активности. Необходимо обращать внимание на появление неизвестных или несанкционированных устройств, зарегистрированных для MFA, а также на наличие неожиданных или вредоносных правил обработки входящих писем в почтовых ящиках. Помимо Microsoft, на данную кампанию также обращали внимание аналитики из компаний Silent Push, Malwarebytes и .
