Security

Ataki płacowe Storm-2755 na pracowników w Kanadzie

3 min czytania

Podsumowanie

Microsoft opisał motywowaną finansowo kampanię Storm-2755 wymierzoną w pracowników w Kanadzie z użyciem ataków przekierowujących wypłaty. Aktor zagrożeń wykorzystał SEO poisoning, malvertising oraz techniki adversary-in-the-middle do kradzieży sesji, obejścia starszych metod MFA i zmiany danych direct deposit, co sprawia, że MFA odporne na phishing i monitorowanie sesji są kluczowymi zabezpieczeniami.

Potrzebujesz pomocy z Security?Porozmawiaj z ekspertem

Ataki płacowe Storm-2755 wymierzone w pracowników w Kanadzie

Wprowadzenie

Microsoft Incident Response opublikował nowe ustalenia dotyczące Storm-2755, aktora zagrożeń prowadzącego tak zwane ataki payroll pirate przeciwko użytkownikom w Kanadzie. Dla zespołów IT i bezpieczeństwa ta kampania jest istotna, ponieważ łączy SEO poisoning, malvertising oraz phishing adversary-in-the-middle (AiTM) w celu przejmowania uwierzytelnionych sesji i przekierowywania wypłat pracowników.

To ma znaczenie nie tylko w Kanadzie: zastosowane techniki mogą zostać wykorzystane ponownie przeciwko każdej organizacji korzystającej z Microsoft 365 oraz internetowych platform HR lub payroll.

Co nowego

Microsoft podaje, że Storm-2755 stosował odrębny łańcuch ataku skoncentrowany na szerokim geograficznym targetowaniu użytkowników w Kanadzie, a nie na jednej branży.

Kluczowe zaobserwowane techniki

  • SEO poisoning i malvertising kierowały ofiary do domen kontrolowanych przez atakujących po wyszukiwaniach takich jak „Office 365” i podobnych literówkach.
  • Ofiary były przekierowywane na fałszywą stronę logowania Microsoft 365, zaprojektowaną do kradzieży poświadczeń i tokenów sesji.
  • Aktor wykorzystywał techniki AiTM do przechwytywania cookies sesji i tokenów OAuth, co pozwalało mu obejść MFA nieodporne na phishing.
  • Microsoft zaobserwował podejrzaną aktywność user-agent Axios 1.7.9 i powiązał ten schemat ze znanymi nadużyciami związanymi z Axios, w tym z obawami dotyczącymi CVE-2025-27152.
  • Po uzyskaniu dostępu Storm-2755 wyszukiwał zasoby związane z payroll i HR, a następnie podszywał się pod pracowników w wiadomościach e-mail o temacie takim jak „Question about direct deposit.”
  • W niektórych przypadkach aktor tworzył także reguły skrzynki odbiorczej, aby ukrywać wiadomości zawierające terminy takie jak „direct deposit” lub „bank”.

Wpływ na administratorów i organizacje

Najbardziej bezpośrednim ryzykiem jest bezpośrednia strata finansowa. Po przejęciu konta atakujący może wykorzystywać legalne sesje, aby wtopić się w normalną aktywność biznesową, co utrudnia wykrycie.

Administratorzy powinni również pamiętać, że tradycyjne MFA nie zawsze wystarcza przeciwko kradzieży tokenów. Ponieważ ataki AiTM odtwarzają uwierzytelnione sesje, organizacje polegające na starszych metodach MFA mogą nadal pozostawać narażone.

Co zespoły IT powinny zrobić teraz

Microsoft zaleca nadanie priorytetu zabezpieczeniom ograniczającym możliwość ponownego użycia tokenów i skuteczność phishingu.

Działania do podjęcia

  • Wdróż MFA odporne na phishing, takie jak FIDO2/WebAuthn.
  • Przejrzyj logi logowania pod kątem błędu 50199, nietypowej ciągłości sesji oraz aktywności user-agent Axios.
  • Monitoruj powtarzające się logowania nieinteraktywne do aplikacji takich jak OfficeHome, Outlook, My Sign-Ins i My Profile.
  • Przeprowadź audyt reguł skrzynki odbiorczej pod kątem słów kluczowych związanych z bankowością lub direct deposit.
  • Zbadaj podejrzany dostęp do platform HR i payroll, takich jak Workday.
  • Unieważnij aktywne tokeny sesji i zresetuj poświadczenia dla kont podejrzewanych o przejęcie.
  • Edukuj użytkowników w zakresie phishingu w wynikach wyszukiwania i fałszywych stron logowania Microsoft 365.

Najważniejszy wniosek

Storm-2755 pokazuje, jak nowoczesne kampanie phishingowe ewoluują od prostej kradzieży poświadczeń do przejmowania sesji z realnym wpływem finansowym. Organizacje korzystające z Microsoft 365 powinny zweryfikować stosowane metody uwierzytelniania odpornego na phishing, wzmocnić monitorowanie anomalii w logowaniach oraz skoordynować działania zespołów bezpieczeństwa i HR w zakresie procesów weryfikacji zmian danych payroll.

Potrzebujesz pomocy z Security?

Nasi eksperci pomogą Ci wdrożyć i zoptymalizować rozwiązania Microsoft.

Porozmawiaj z ekspertem

Bądź na bieżąco z technologiami Microsoft

Przeczytaj oryginalny artykuł autorstwa Microsoft Incident Response
Storm-2755AiTM phishingMicrosoft 365payroll fraudMFA

Powiązane artykuły

Security

Luka EngageSDK Android narażała miliony portfeli

Microsoft ujawnił poważną lukę typu intent redirection w zewnętrznym EngageSDK dla Android, która mogła narazić miliony użytkowników portfeli crypto na wyciek danych i eskalację uprawnień. Problem naprawiono w EngageSDK w wersji 5.2.1, a ten przypadek pokazuje rosnące ryzyko bezpieczeństwa związane z nieprzejrzystymi zależnościami w łańcuchu dostaw aplikacji mobilnych.

Security

{{Przejęcie DNS w routerach SOHO: ostrzeżenie Microsoftu}}

{{Microsoft Threat Intelligence informuje, że Forest Blizzard przejmował podatne routery domowe i biurowe, aby przekierowywać ruch DNS, a w niektórych przypadkach umożliwiać ataki adversary-in-the-middle na wybrane połączenia. Kampania ma znaczenie dla zespołów IT, ponieważ niezarządzane urządzenia SOHO używane przez pracowników zdalnych i hybrydowych mogą narażać dostęp do chmury i wrażliwe dane, nawet gdy środowiska firmowe pozostają bezpieczne.}}

Security

Storm-1175 i Medusa ransomware atakują web assets

Microsoft Threat Intelligence ostrzega, że Storm-1175 szybko wykorzystuje podatne systemy dostępne z internetu do wdrażania Medusa ransomware, czasem w ciągu zaledwie 24 godzin od uzyskania początkowego dostępu. Koncentracja grupy na nowo ujawnionych lukach, web shells, narzędziach RMM i szybkim ruchu lateralnym sprawia, że szybkie łatanie, zarządzanie ekspozycją i wykrywanie działań po kompromitacji są kluczowe dla obrońców.

Security

Phishing device code AI: kampania eskaluje

Microsoft Defender Security Research opisał zakrojoną na szeroką skalę kampanię phishingową, która nadużywa przepływu OAuth device code z użyciem przynęt generowanych przez AI, dynamicznego generowania kodów oraz zautomatyzowanej infrastruktury backendowej. Kampania zwiększa ryzyko dla organizacji, ponieważ poprawia skuteczność atakujących, omija tradycyjne wzorce detekcji i umożliwia kradzież tokenów, utrwalanie dostępu przez reguły skrzynki odbiorczej oraz rekonesans w Microsoft Graph.

Security

Ataki cybernetyczne AI przyspieszają cały łańcuch

Microsoft ostrzega, że cyberprzestępcy wykorzystują obecnie AI na całej długości cyklu ataku — od rozpoznania i phishingu po tworzenie malware oraz działania po przejęciu środowiska. Dla obrońców oznacza to szybsze i bardziej precyzyjne ataki, wyższą skuteczność phishingu oraz rosnącą potrzebę wzmocnienia ochrony tożsamości, MFA i widoczności powierzchni ataku wspieranych przez AI.

Security

PHP webshelle na Linux: unikanie wykrycia przez cookies

Microsoft ostrzega, że cyberprzestępcy wykorzystują HTTP cookies do sterowania PHP webshellami w środowiskach hostingowych Linux, co pozwala złośliwemu kodowi pozostawać uśpionym, dopóki nie pojawią się określone wartości cookie. Technika ta ogranicza widoczność w rutynowych logach, wspiera trwałość dzięki zadaniom cron i podkreśla potrzebę silniejszego monitoringu, ochrony aplikacji webowych oraz wykrywania zagrożeń na punktach końcowych w hostowanych środowiskach Linux.