Хакеров подозревают в атаках на университеты США с целью хищения зарплат сотрудников

С марта 2025 года киберпреступная группировка Storm-2657 ведёт масштабную кампанию против университетов США, нацеленную на хищение заработной платы сотрудников. Об этом говорится в отчёте аналитиков Microsoft Threat Intelligence, опубликованном в четверг. Злоумышленники используют продвинутые схемы социальной инженерии и слабости в защите учётных записей, чтобы проникать в системы управления персоналом, такие как Workday.

По данным Microsoft, уже подтверждено 11 успешных компрометаций учётных записей в трёх университетах. Эти учётки затем использовались для рассылки фишинговых писем почти на 6000 адресов в 25 учебных заведениях. Цель атаки — перенаправление выплат на счета, контролируемые хакерами.

Кампания строится на подмене легитимных уведомлений от HR-служб и имитации важных сообщений. Злоумышленники рассылают письма от имени сотрудников университетов, ректората, HR-департаментов или даже с темами, касающимися якобы вспышек заболеваний, нарушений правил преподавания и перерасчётов выплат. Цель — заставить получателя перейти по фишинговой ссылке.

В рамках фишинга используются ссылки типа «злоумышленник посередине» (Adversary-in-the-Middle, AITM), позволяющие перехватывать коды многофакторной аутентификации (MFA). После получения доступа к почтовому ящику через Exchange Online, злоумышленники создают скрытые правила обработки почты — например, автоматическое удаление уведомлений от Workday, что позволяет незаметно менять настройки выплат.

Получив доступ к системе Workday через единый вход (SSO), преступники изменяют банковские реквизиты для зачисления зарплаты. Далее учётная запись используется для рассылки новых фишинговых сообщений — как внутри того же учреждения, так и в другие вузы. Таким образом атака приобретает цепной характер.

Microsoft подчёркивает: уязвимость заключается не в самой платформе Workday, а в отсутствии надёжной многофакторной защиты. В некоторых случаях преступники вручную регистрируют свои устройства в качестве доверенных MFA-устройств, используя настройки Duo или саму систему Workday. Это позволяет им продолжать активность даже после первичного взлома и блокировать попытки восстановления доступа.

По оценке Microsoft, атаки носят финансово мотивированный характер. Несмотря на отсутствие взлома инфраструктуры SaaS-платформ, ущерб от таких действий может быть значительным. В частности, нарушается расчёт заработной платы, возникает риск утечки персональных данных, а под удар попадают и репутация образовательных учреждений, и благополучие их сотрудников.