СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
13.10.2025
#Dev#ИБ#Облака

Storm-2657 «payroll pirate»: AITM-фишинг и кража MFA в университетах

Storm-2657 payroll pirate: AITM-фишинг и кража MFA в университетах

Microsoft Threat Intelligence зафиксировала серию целенаправленных атак под названием «payroll pirate», в которых участвует финансово мотивированный злоумышленник, известный как Storm-2657. Основная цель кампании — компрометация учетных записей сотрудников высших учебных заведений с последующим перенаправлением выплат заработной платы на счета, контролируемые злоумышленниками.

Суть атаки

Атака состоит из нескольких скоординированных этапов, использующих сочетание современных фишинговых технологий и злоупотребления возможностями корпоративных сервисов:

  • Инициирующий этап — высокореалистичные фишинговые письма, разработанные для сотрудников сектора высшего образования;
  • Для обхода защиты применяется механизм атаки «злоумышленник посередине» (AITM), который вынуждает жертву раскрыть коды многофакторной аутентификации (MFA);
  • После получения MFA-кодов Storm-2657 получает несанкционированный доступ к онлайн-аккаунтам Exchange жертв;
  • Взломанные аккаунты используются для рассылки дальнейших фишинговых писем — таким образом масштабируется кампания;
  • Доступ к рабочим профилям позволяет злоумышленникам изменять реквизиты выплат и банковские данные;
  • Используя возможности единого входа (SSO) для Workday, злоумышленник вносит изменения, которые переводят заработную плату жертв на контролируемые им счета.

Масштаб и последствия

По данным Microsoft, кампания активна с марта 2025 года. В рамках расследования были подтверждены следующие показатели:

  • 11 скомпрометированных учетных записей в трех университетах;
  • почти 6000 адресов электронной почты получили фишинговые рассылки, охватив 25 различных университетов.

Такая схема позволяет злоумышленникам не только похищать учетные данные, но и напрямую вмешиваться в расчеты заработной платы, что делает атаку особенно опасной для вузов с централизованными HR-системами.

Инструменты обнаружения и реагирования

Microsoft отмечает, что платформа Microsoft Defender XDR предоставляет возможности для интегрированного обнаружения и предотвращения подобных инцидентов. Среди ключевых функций — координация наблюдения за конечными точками, идентификационными данными, электронной почтой и приложениями.

  • Наличие специализированного коннектора для Workday, который фиксирует критичные события записи (включая обновления учетных записей и конфигураций расчета заработной платы);
  • Логирование ключевых событий, связанных со сценарием атаки, в таблицах поиска CloudAppEvents Defender XDR — это даёт аналитикам контекст для расследования и корреляции инцидентов;
  • Координация телеметрии между доменами (endpoint, identity, email, app) позволяет быстрее выявлять цепочки компрометации и распространения фишинга внутри организации.

Почему это особенно опасно для вузов

Высшие учебные заведения часто используют централизованные HR-решения и единые системы аутентификации, что делает их привлекательной целью для злоумышленников, желающих получить влияние на процессы выплаты заработной платы. В данном сценарии особенно опасны следующие факторы:

  • Применение AITM позволяет обойти защиту, основанную на классических MFA-кодах;
  • Злоупотребление SSO и доступом к корпоративной почте (Exchange) даёт возможность незаметно вносить изменения в профиль сотрудника;
  • Большой охват фишинговой рассылки обеспечивает широкие возможности для эскалации и дальнейшего компромета.

По данным Microsoft Threat Intelligence: «Storm-2657 целенаправленно нацеливается на сотрудников высшего образования, чтобы перенаправить выплаты заработной платы на счета злоумышленников».

Выводы и краткие рекомендации

  • Организациям сектора высшего образования следует усилить мониторинг активности вокруг учетных записей, связанных с выплатами и HR-сервисами, включая события в Workday и логи Exchange.
  • Рассмотреть внедрение дополнительных механизмов защиты MFA (например, phishing-resistant методы) и ограничить возможности SSO для критичных операций управления зарплатой.
  • Использовать возможности интегрированной платформы типа Microsoft Defender XDR и коннектора Workday для корреляции телеметрии и быстрого расследования подозрительных изменений.

Случай Storm-2657 демонстрирует, как сочетание целенаправленного фишинга, обхода MFA и злоупотребления корпоративными интеграциями может привести к прямому финансовому ущербу. Для вузов это сигнал к пересмотру процедур защиты учетных записей и процессов контроля изменений в системах расчета заработной платы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: