Security

Storm-2755 Gehaltsangriffe auf kanadische Mitarbeiter

3 Min. Lesezeit

Zusammenfassung

Microsoft hat eine finanziell motivierte Storm-2755-Kampagne beschrieben, die kanadische Mitarbeiter mit Angriffen zur Umleitung von Gehaltszahlungen ins Visier nimmt. Der Threat Actor nutzte SEO poisoning, Malvertising und Adversary-in-the-Middle-Techniken, um Sessions zu stehlen, Legacy-MFA zu umgehen und Direct-Deposit-Daten zu ändern – wodurch phishing-resistente MFA und Session-Monitoring zu entscheidenden Schutzmaßnahmen werden.

Audio-Zusammenfassung

0:00--:--
Brauchen Sie Hilfe mit Security?Mit einem Experten sprechen

Storm-2755-Gehaltsangriffe zielen auf kanadische Mitarbeiter

Einführung

Microsoft Incident Response hat neue Erkenntnisse zu Storm-2755 veröffentlicht, einem Threat Actor, der sogenannte Payroll-Pirate-Angriffe gegen kanadische Nutzer durchführt. Für IT- und Security-Teams ist diese Kampagne besonders relevant, weil sie SEO poisoning, Malvertising und Adversary-in-the-Middle (AiTM)-Phishing kombiniert, um authentifizierte Sessions zu kapern und Gehaltszahlungen von Mitarbeitern umzuleiten.

Das ist nicht nur für Kanada relevant: Die Vorgehensweise lässt sich gegen jede Organisation wiederverwenden, die auf Microsoft 365 sowie Online-HR- oder Payroll-Plattformen setzt.

Was ist neu?

Microsoft zufolge nutzte Storm-2755 eine spezifische Angriffskette mit Fokus auf ein breites geografisches Targeting kanadischer Nutzer statt auf eine einzelne Branche.

Beobachtete Schlüsseltechniken

  • SEO poisoning und Malvertising lenkten Opfer über Suchanfragen wie „Office 365“ und ähnliche Falschschreibweisen auf vom Angreifer kontrollierte Domains.
  • Opfer wurden auf eine gefälschte Microsoft 365-Anmeldeseite geleitet, die darauf ausgelegt war, Anmeldedaten und Session-Tokens zu stehlen.
  • Der Akteur nutzte AiTM-Techniken, um Session-Cookies und OAuth-Tokens abzugreifen, und konnte so nicht phishing-resistente MFA umgehen.
  • Microsoft beobachtete verdächtige Axios 1.7.9 user-agent-Aktivitäten und verknüpfte den Ablauf mit bekanntem Axios-bezogenem Missbrauch, einschließlich Bedenken zu CVE-2025-27152.
  • Nach dem Zugriff suchte Storm-2755 nach Payroll- und HR-bezogenen Ressourcen und gab sich dann mit E-Mails wie „Question about direct deposit.” als Mitarbeiter aus.
  • In einigen Fällen erstellte der Akteur außerdem Inbox Rules, um Nachrichten mit Begriffen wie „direct deposit“ oder „bank“ zu verbergen.

Auswirkungen auf Administratoren und Organisationen

Das unmittelbarste Risiko ist der direkte finanzielle Verlust. Sobald ein Konto kompromittiert ist, kann der Angreifer legitime Sessions nutzen, um in normalen Geschäftsaktivitäten unterzutauchen, was die Erkennung erschwert.

Admins sollten außerdem beachten, dass herkömmliche MFA gegen Token-Diebstahl nicht immer ausreicht. Da AiTM-Angriffe authentifizierte Sessions erneut verwenden, können Organisationen, die auf Legacy-MFA-Methoden setzen, weiterhin gefährdet sein.

Was IT-Teams als Nächstes tun sollten

Microsoft empfiehlt, Gegenmaßnahmen zu priorisieren, die Token-Replay und den Erfolg von Phishing reduzieren.

Maßnahmen

  • Phishing-resistente MFA bereitstellen, zum Beispiel FIDO2/WebAuthn.
  • Anmeldeprotokolle auf Fehler 50199, ungewöhnliche Session continuity und Axios user-agent-Aktivitäten prüfen.
  • Wiederholte nicht interaktive Anmeldungen bei Apps wie OfficeHome, Outlook, My Sign-Ins und My Profile überwachen.
  • Inbox Rules auf Schlüsselwörter im Zusammenhang mit Banking oder direct deposit prüfen.
  • Verdächtige Zugriffe auf HR- und Payroll-Plattformen wie Workday untersuchen.
  • Aktive Session-Tokens widerrufen und Anmeldedaten bei mutmaßlich kompromittierten Konten zurücksetzen.
  • Nutzer zu Phishing über Suchergebnisse und gefälschten Microsoft 365-Loginseiten sensibilisieren.

Fazit

Storm-2755 zeigt, wie sich moderne Phishing-Kampagnen von einfachem Diebstahl von Anmeldedaten hin zu Session-Hijacking mit realen finanziellen Auswirkungen entwickeln. Organisationen, die Microsoft 365 nutzen, sollten phishing-resistente Authentifizierung überprüfen, das Monitoring auf anomales Anmeldeverhalten verstärken und Security- sowie HR-Teams bei Prozessen zur Verifizierung von Änderungen bei Gehaltszahlungen abstimmen.

Brauchen Sie Hilfe mit Security?

Unsere Experten helfen Ihnen bei der Implementierung und Optimierung Ihrer Microsoft-Lösungen.

Mit einem Experten sprechen

Bleiben Sie über Microsoft-Technologien auf dem Laufenden

Originalartikel von Microsoft Incident Response lesen
Storm-2755AiTM phishingMicrosoft 365payroll fraudMFA

Verwandte Beiträge

Security

EngageSDK Android-Sicherheitslücke gefährdete Wallets

Microsoft hat eine schwerwiegende Intent-Redirection-Sicherheitslücke im Drittanbieter-EngageSDK für Android offengelegt, durch die Millionen von Nutzern von Crypto-Wallets potenziell dem Risiko von Datenoffenlegung und Privilegienausweitung ausgesetzt waren. Das Problem wurde in EngageSDK Version 5.2.1 behoben und unterstreicht das wachsende Sicherheitsrisiko intransparenter Abhängigkeiten in der Mobile-App-Lieferkette.

Security

SOHO-Router DNS-Hijacking: Microsoft warnt

Microsoft Threat Intelligence berichtet, dass Forest Blizzard anfällige Heim- und Kleinbüro-Router kompromittiert hat, um DNS-Datenverkehr umzuleiten und in einigen Fällen Adversary-in-the-Middle-Angriffe auf gezielte Verbindungen zu ermöglichen. Die Kampagne ist für IT-Teams relevant, weil nicht verwaltete SOHO-Geräte von Remote- und Hybrid-Mitarbeitenden den Zugriff auf Cloud-Dienste und sensible Daten gefährden können, selbst wenn Unternehmensumgebungen abgesichert bleiben.

Security

Storm-1175 Medusa-Ransomware auf Websystemen

Microsoft Threat Intelligence warnt, dass Storm-1175 anfällige internetseitige Systeme schnell ausnutzt, um Medusa ransomware bereitzustellen – teils innerhalb von 24 Stunden nach dem Erstzugriff. Der Fokus der Gruppe auf neu offengelegte Schwachstellen, Webshells, RMM-Tools und schnelle laterale Bewegung macht zügiges Patchen, Exposure Management und Erkennung nach einer Kompromittierung für Verteidiger entscheidend.

Security

Device Code Phishing: KI-Kampagne eskaliert

Microsoft Defender Security Research hat eine groß angelegte Phishing-Kampagne beschrieben, die den OAuth-Device-Code-Flow mit KI-generierten Ködern, dynamischer Code-Erstellung und automatisierter Backend-Infrastruktur missbraucht. Die Kampagne erhöht das Risiko für Organisationen, weil sie die Erfolgsquote von Angreifern verbessert, klassische Erkennungsmuster umgeht und Token-Diebstahl, Persistenz über Inbox-Regeln sowie Reconnaissance über Microsoft Graph ermöglicht.

Security

AI-Cyberangriffe beschleunigen die Angriffskette

Microsoft warnt, dass Bedrohungsakteure inzwischen AI über den gesamten Cyberangriffszyklus hinweg einsetzen – von Aufklärung und Phishing bis zur Malware-Entwicklung und Aktivitäten nach einer Kompromittierung. Für Verteidiger bedeutet das schnellere, präzisere Angriffe, höhere Phishing-Erfolgsquoten und einen wachsenden Bedarf, Identitäten, MFA-Schutz und die Transparenz über AI-gesteuerte Angriffsflächen zu stärken.

Security

PHP-Webshells auf Linux: Cookie-gesteuerte Tarnung

Microsoft warnt, dass Bedrohungsakteure HTTP-Cookies nutzen, um PHP-Webshells in Linux-Hosting-Umgebungen zu steuern. So bleibt schädlicher Code inaktiv, solange keine bestimmten Cookie-Werte vorhanden sind. Die Technik verringert die Sichtbarkeit in routinemäßigen Logs, unterstützt Persistenz über Cron-Jobs und unterstreicht den Bedarf an stärkerem Monitoring, Webschutz und Endpoint Detection für gehostete Linux-Workloads.