Security

Storm-2755 payroll-aanvallen treffen Canada

3 min leestijd

Samenvatting

Microsoft heeft details gedeeld over een financieel gemotiveerde Storm-2755-campagne die Canadese medewerkers treft met aanvallen op salarisomleiding. De actor gebruikte SEO poisoning, malvertising en adversary-in-the-middle-technieken om sessies te stelen, legacy MFA te omzeilen en gegevens voor directe stortingen te wijzigen, waardoor phishing-resistente MFA en sessiemonitoring cruciale verdedigingsmaatregelen zijn.

Hulp nodig met Security?Praat met een expert

Storm-2755 payroll-aanvallen richten zich op Canadese werknemers

Inleiding

Microsoft Incident Response heeft nieuwe bevindingen gepubliceerd over Storm-2755, een dreigingsactor die zogenoemde payroll pirate-aanvallen uitvoert tegen Canadese gebruikers. Voor IT- en securityteams is deze campagne opvallend omdat ze SEO poisoning, malvertising en adversary-in-the-middle (AiTM)-phishing combineert om geauthenticeerde sessies te kapen en salarisbetalingen van werknemers om te leiden.

Dit is ook buiten Canada relevant: deze werkwijze kan worden hergebruikt tegen elke organisatie die afhankelijk is van Microsoft 365 en online HR- of payrollplatforms.

Wat is nieuw

Microsoft zegt dat Storm-2755 een onderscheidende aanvalsketen gebruikte die was gericht op brede geografische targeting van Canadese gebruikers, in plaats van op één specifieke sector.

Belangrijkste waargenomen technieken

  • SEO poisoning en malvertising stuurden slachtoffers vanaf zoekopdrachten zoals “Office 365” en vergelijkbare spelfouten naar door aanvallers beheerde domeinen.
  • Slachtoffers werden doorgestuurd naar een valse Microsoft 365-aanmeldpagina die was ontworpen om inloggegevens en sessietokens te stelen.
  • De actor gebruikte AiTM-technieken om sessiecookies en OAuth-tokens vast te leggen, waarmee niet-phishing-resistente MFA kon worden omzeild.
  • Microsoft zag verdachte Axios 1.7.9 user-agent-activiteit en koppelde de flow aan bekend Axios-gerelateerd misbruik, waaronder zorgen rond CVE-2025-27152.
  • Na toegang zocht Storm-2755 naar payroll- en HR-gerelateerde bronnen en deed zich vervolgens voor als werknemers met e-mails zoals “Question about direct deposit.”
  • In sommige gevallen maakte de actor ook inbox rules aan om berichten met termen als “direct deposit” of “bank” te verbergen.

Impact op beheerders en organisaties

Het meest directe risico is rechtstreeks financieel verlies. Zodra een account is gecompromitteerd, kan de aanvaller legitieme sessies gebruiken om op te gaan in normale bedrijfsactiviteit, wat detectie moeilijker maakt.

Admins moeten er ook rekening mee houden dat traditionele MFA niet altijd voldoende is tegen token theft. Omdat AiTM-aanvallen geauthenticeerde sessies opnieuw gebruiken, kunnen organisaties die vertrouwen op legacy MFA-methoden nog steeds kwetsbaar zijn.

Wat IT-teams nu moeten doen

Microsoft adviseert mitigaties te prioriteren die token replay en het succes van phishing verminderen.

Actiepunten

  • Implementeer phishing-resistente MFA, zoals FIDO2/WebAuthn.
  • Controleer aanmeldingslogboeken op fout 50199, ongebruikelijke session continuity en Axios user-agent-activiteit.
  • Monitor herhaalde non-interactive sign-ins voor apps zoals OfficeHome, Outlook, My Sign-Ins en My Profile.
  • Controleer inbox rules op trefwoorden die verband houden met bankieren of direct deposit.
  • Onderzoek verdachte toegang tot HR- en payrollplatforms zoals Workday.
  • Trek actieve sessietokens in en reset inloggegevens van vermoedelijk gecompromitteerde accounts.
  • Informeer gebruikers over phishing via zoekresultaten en valse Microsoft 365-inlogpagina’s.

Conclusie

Storm-2755 laat zien hoe moderne phishingcampagnes evolueren van eenvoudige diefstal van inloggegevens naar sessiekaping met echte financiële impact. Organisaties die Microsoft 365 gebruiken, moeten phishing-resistente authenticatie herzien, monitoring op afwijkend aanmeldingsgedrag versterken en security- en HR-teams afstemmen op verificatieprocessen voor payroll-wijzigingen.

Hulp nodig met Security?

Onze experts helpen u bij het implementeren en optimaliseren van uw Microsoft-oplossingen.

Praat met een expert

Blijf op de hoogte van Microsoft-technologieën

Lees het originele artikel van Microsoft Incident Response
Storm-2755AiTM phishingMicrosoft 365payroll fraudMFA

Gerelateerde artikelen

Security

EngageSDK Android-kwetsbaarheid trof miljoenen wallets

Microsoft heeft een ernstige intent redirection-kwetsbaarheid bekendgemaakt in de externe EngageSDK voor Android, waardoor miljoenen gebruikers van crypto wallets mogelijk risico liepen op blootstelling van gegevens en privilege escalation. Het probleem is opgelost in EngageSDK versie 5.2.1 en onderstreept het groeiende beveiligingsrisico van ondoorzichtige supply-chain-afhankelijkheden in mobiele apps.

Security

SOHO-router DNS-kaping: Microsoft waarschuwt

Microsoft Threat Intelligence meldt dat Forest Blizzard kwetsbare thuis- en small-office-routers heeft gecompromitteerd om DNS-verkeer te kapen en in sommige gevallen adversary-in-the-middle-aanvallen op doelgerichte verbindingen mogelijk te maken. De campagne is relevant voor IT-teams omdat onbeheerde SOHO-apparaten van remote en hybride medewerkers toegang tot cloudservices en gevoelige gegevens kunnen blootstellen, zelfs wanneer bedrijfsomgevingen veilig blijven.

Security

Storm-1175 Medusa ransomware treft websystemen

Microsoft Threat Intelligence waarschuwt dat Storm-1175 kwetsbare internetgerichte systemen razendsnel misbruikt om Medusa ransomware uit te rollen, soms binnen 24 uur na initiële toegang. De focus van de groep op recent bekendgemaakte kwetsbaarheden, web shells, RMM-tools en snelle laterale verplaatsing maakt snelle patching, exposure management en detectie na compromittering cruciaal voor verdedigers.

Security

AI device code phishing-campagne escaleert

Microsoft Defender Security Research beschreef een grootschalige phishingcampagne die misbruik maakt van de OAuth device code flow met AI-gegenereerde lokmiddelen, dynamische codegeneratie en geautomatiseerde backend-infrastructuur. De campagne vergroot het risico voor organisaties doordat ze het slagingspercentage van aanvallers verhoogt, traditionele detectiepatronen omzeilt en tokendiefstal, persistente inboxregels en Microsoft Graph-verkenning mogelijk maakt.

Security

AI-cyberaanvallen versnellen de aanvalsketen

Microsoft waarschuwt dat dreigingsactoren AI nu inzetten in de volledige cyberaanvallevenscyclus, van verkenning en phishing tot malwareontwikkeling en activiteiten na een compromis. Voor defenders betekent dit snellere, nauwkeurigere aanvallen, hogere phishing-slaagkansen en een groeiende noodzaak om identity-, MFA-bescherming en zichtbaarheid op AI-gestuurde aanvalsoppervlakken te versterken.

Security

PHP-webshells op Linux: cookiegestuurde ontwijking

Microsoft waarschuwt dat dreigingsactoren HTTP-cookies gebruiken om PHP-webshells aan te sturen in Linux-hostingomgevingen, waardoor kwaadaardige code inactief blijft tenzij specifieke cookiewaarden aanwezig zijn. Deze techniek vermindert de zichtbaarheid in routinelogs, ondersteunt persistentie via cron jobs en onderstreept de noodzaak van sterkere monitoring, webbeveiliging en endpointdetectie op gehoste Linux-workloads.