Как хакеры обходят многофакторную аутентификацию для кражи зарплат?

Финансово мотивированная хакерская группировка, известная как Storm-2657, активно проводит кампанию под кодовым названием "Payroll Pirates" (Зарплатные пираты). Основная цель злоумышленников — хищение заработной платы сотрудников. В качестве мишеней выбраны организации в США, с особым акцентом на сектор высшего образования. Атака направлена не на уязвимости в программном обеспечении, а на компрометацию учетных записей сотрудников на SaaS-платформах для управления персоналом, таких как Workday.
Как хакеры обходят многофакторную аутентификацию для кражи зарплат?
Изображение носит иллюстративный характер

Атака начинается с рассылки фишинговых писем, призванных вызвать у получателя чувство срочности. В качестве приманки используются темы, связанные с уведомлениями о болезнях или служебными записками о нарушениях на территории кампуса. Эти письма содержат вредоносную ссылку, ведущую на фишинговый сайт, работающий по принципу "Adversary-in-the-Middle" (AitM, «Атакующий посередине»). Данная технология позволяет в реальном времени перехватывать не только логины и пароли, но и одноразовые коды многофакторной аутентификации (MFA).

Используя похищенные учетные данные и перехваченные MFA-коды, злоумышленники получают доступ к почтовому ящику сотрудника в Exchange Online. Далее, применяя технологию единого входа (Single Sign-On, SSO), они получают контроль над профилем жертвы в HR-платформе Workday, которая интегрирована с корпоративной почтой.

Проникнув в HR-систему, атакующие изменяют конфигурацию выплат заработной платы скомпрометированного сотрудника. Они заменяют банковские реквизиты жертвы на данные счетов, находящихся под их собственным контролем. В результате все последующие зарплатные перечисления поступают напрямую хакерам.

Для сокрытия своих действий и предотвращения быстрого обнаружения атаки Storm-2657 применяет методы уклонения от защиты. В почтовом ящике жертвы создаются специальные правила, которые автоматически и безвозвратно удаляют любые уведомительные письма от системы Workday, предупреждающие об изменении банковских данных или других настроек профиля. Таким образом, сотрудник долгое время остается в неведении о подмене.

Чтобы обеспечить себе постоянный доступ к скомпрометированной учетной записи, даже если пользователь сменит пароль, хакеры добавляют собственные устройства для многофакторной аутентификации. Они регистрируют свои номера телефонов в профиле жертвы, что позволяет им в будущем самостоятельно генерировать коды доступа.

Скомпрометированные учетные записи используются не только для кражи средств. Они становятся плацдармом для дальнейшего распространения атаки. С взломанных адресов хакеры рассылают новые волны фишинговых писем другим сотрудникам внутри той же организации, а также в другие университеты, тем самым расширяя масштабы кампании "Payroll Pirates".

По данным команды Microsoft Threat Intelligence, одна из таких кампаний была зафиксирована в первой половине 2025 года. Начиная с марта 2025 года, аналитики Microsoft наблюдали 11 успешно скомпрометированных учетных записей в трех разных университетах. Эти 11 аккаунтов были использованы для рассылки фишинговых писем почти на 6000 электронных адресов в 25 университетах.

Для противодействия подобным атакам рекомендуется внедрять устойчивые к фишингу методы многофакторной аутентификации. Наиболее эффективным решением является использование беспарольных методов, в частности, физических ключей безопасности, соответствующих стандарту FIDO2. Такие ключи невозможно скомпрометировать удаленно с помощью техник AitM.

Организациям следует проводить регулярные проверки учетных записей сотрудников на предмет подозрительной активности. Необходимо обращать внимание на появление неизвестных или несанкционированных устройств, зарегистрированных для MFA, а также на наличие неожиданных или вредоносных правил обработки входящих писем в почтовых ящиках. Помимо Microsoft, на данную кампанию также обращали внимание аналитики из компаний Silent Push, Malwarebytes и .


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка