Security

Storm-2755 lønangreb rammer canadiske ansatte

3 min læsning

Resumé

Microsoft har beskrevet en økonomisk motiveret Storm-2755-kampagne, der målretter canadiske ansatte med angreb på lønomdirigering. Trusselsaktøren brugte SEO poisoning, malvertising og adversary-in-the-middle-teknikker til at stjæle sessioner, omgå ældre MFA og ændre direct deposit-oplysninger, hvilket gør phishing-resistent MFA og sessionsovervågning til kritiske forsvar.

Brug for hjælp med Security?Tal med en ekspert

Storm-2755 lønangreb rammer canadiske ansatte

Introduktion

Microsoft Incident Response har offentliggjort nye fund om Storm-2755, en trusselsaktør, der udfører såkaldte payroll pirate-angreb mod canadiske brugere. For IT- og sikkerhedsteams er denne kampagne bemærkelsesværdig, fordi den kombinerer SEO poisoning, malvertising og adversary-in-the-middle (AiTM)-phishing for at kapre autentificerede sessioner og omdirigere medarbejderes lønudbetalinger.

Dette er vigtigt ud over Canada: teknikkerne kan genbruges mod enhver organisation, der er afhængig af Microsoft 365 og online HR- eller lønplatforme.

Hvad er nyt

Microsoft oplyser, at Storm-2755 brugte en særskilt angrebskæde med fokus på bred geografisk målretning af canadiske brugere frem for en enkelt branche.

Observerede nøgleteknikker

  • SEO poisoning og malvertising sendte ofre til angriberkontrollerede domæner fra søgninger som “Office 365” og lignende stavefejl.
  • Ofre blev sendt til en falsk Microsoft 365 sign-in-side designet til at stjæle legitimationsoplysninger og sessionstokens.
  • Aktøren brugte AiTM-teknikker til at opsnappe sessionscookies og OAuth-tokens, så de kunne omgå MFA, der ikke er phishing-resistent.
  • Microsoft observerede mistænkelig Axios 1.7.9 user-agent-aktivitet og kædede forløbet sammen med kendt Axios-relateret misbrug, herunder bekymringer om CVE-2025-27152.
  • Efter adgang søgte Storm-2755 efter løn- og HR-relaterede ressourcer og udgav sig derefter for at være medarbejdere med e-mails som “Question about direct deposit.”
  • I nogle tilfælde oprettede aktøren også inbox rules for at skjule meddelelser, der indeholdt termer som “direct deposit” eller “bank.”

Konsekvenser for administratorer og organisationer

Den mest umiddelbare risiko er direkte økonomisk tab. Når en konto først er kompromitteret, kan angriberen bruge legitime sessioner til at falde ind i den normale forretningsaktivitet, hvilket gør det sværere at opdage.

Administratorer bør også bemærke, at traditionel MFA ikke altid er nok mod token-tyveri. Fordi AiTM-angreb afspiller autentificerede sessioner, kan organisationer, der er afhængige af ældre MFA-metoder, stadig være eksponerede.

Hvad IT-teams bør gøre nu

Microsoft anbefaler at prioritere afværgeforanstaltninger, der reducerer token replay og phishing-succes.

Handlinger

  • Implementer phishing-resistent MFA, såsom FIDO2/WebAuthn.
  • Gennemgå sign-in-logs for fejl 50199, usædvanlig session continuity og Axios user-agent-aktivitet.
  • Overvåg gentagne non-interactive sign-ins til apps som OfficeHome, Outlook, My Sign-Ins og My Profile.
  • Gennemgå inbox rules for nøgleord relateret til bankforhold eller direct deposit.
  • Undersøg mistænkelig adgang til HR- og lønplatforme som Workday.
  • Tilbagekald aktive sessionstokens og nulstil legitimationsoplysninger for konti, der mistænkes for at være kompromitterede.
  • Uddan brugere om phishing via søgeresultater og falske Microsoft 365-loginside.

Konklusion

Storm-2755 viser, hvordan moderne phishingkampagner udvikler sig fra simpelt tyveri af legitimationsoplysninger til sessionskapring med reel økonomisk påvirkning. Organisationer, der bruger Microsoft 365, bør gennemgå phishing-resistent godkendelse, styrke overvågningen af unormal sign-in-adfærd og koordinere sikkerheds- og HR-teams omkring verifikationsprocesser for ændringer i lønudbetalinger.

Brug for hjælp med Security?

Vores eksperter kan hjælpe dig med at implementere og optimere dine Microsoft-løsninger.

Tal med en ekspert

Hold dig opdateret om Microsoft-teknologier

Læs den originale artikel af Microsoft Incident Response
Storm-2755AiTM phishingMicrosoft 365payroll fraudMFA

Relaterede indlæg

Security

EngageSDK Android-sårbarhed ramte millioner

Microsoft har offentliggjort en alvorlig intent redirection-fejl i tredjepartsbiblioteket EngageSDK til Android, hvilket potentielt udsatte millioner af brugere af crypto wallet-apps for dataeksponering og privilege escalation. Problemet blev rettet i EngageSDK version 5.2.1, og sagen understreger den voksende sikkerhedsrisiko ved uigennemsigtige afhængigheder i mobilappens supply chain.

Security

DNS-kapringsangreb via SOHO-routere: Microsoft advarer

Microsoft Threat Intelligence oplyser, at Forest Blizzard har kompromitteret sårbare hjemme- og small-office-routere for at kapre DNS-trafik og i nogle tilfælde muliggøre adversary-in-the-middle-angreb mod målrettede forbindelser. Kampagnen er vigtig for IT-teams, fordi uadministrerede SOHO-enheder brugt af fjern- og hybridmedarbejdere kan eksponere cloudadgang og følsomme data, selv når virksomhedsmiljøer forbliver sikre.

Security

Storm-1175 Medusa ransomware rammer websystemer

Microsoft Threat Intelligence advarer om, at Storm-1175 hurtigt udnytter sårbare internetvendte systemer til at udrulle Medusa ransomware, nogle gange inden for 24 timer efter første adgang. Gruppens fokus på nyligt offentliggjorte sårbarheder, web shells, RMM tools og hurtig lateral bevægelse gør hurtig patching, eksponeringsstyring og detektion efter kompromittering afgørende for forsvarere.

Security

AI-drevet device code phishing eskalerer

Microsoft Defender Security Research beskrev en storstilet phishingkampagne, der misbruger OAuth device code flow med AI-genererede lokkemidler, dynamisk kodegenerering og automatiseret backend-infrastruktur. Kampagnen øger risikoen for organisationer, fordi den forbedrer angribernes succesrate, omgår traditionelle detektionsmønstre og muliggør token-tyveri, vedvarende inbox rules og rekognoscering via Microsoft Graph.

Security

AI-cyberangreb øger trusler i hele angrebskæden

Microsoft advarer om, at trusselsaktører nu indlejrer AI i hele cyberangrebets livscyklus, fra rekognoscering og phishing til malwareudvikling og aktiviteter efter kompromittering. For forsvarere betyder det hurtigere og mere præcise angreb, højere succesrater for phishing og et voksende behov for at styrke identitet, MFA-beskyttelse og synlighed i AI-drevne angrebsflader.

Security

Cookie-styrede PHP-webshells på Linux undviger detektion

Microsoft advarer om, at trusselsaktører bruger HTTP-cookies til at styre PHP-webshells i Linux-hostingmiljøer, hvilket hjælper skadelig kode med at forblive inaktiv, medmindre bestemte cookie-værdier er til stede. Teknikken reducerer synligheden i rutinemæssige logs, understøtter persistens via cron jobs og understreger behovet for stærkere overvågning, webbeskyttelse og endpoint-detektion på hostede Linux-workloads.