Атаки Storm-2755 на payroll нацелены на сотрудников в Канаде

Введение

Microsoft Incident Response опубликовала новые данные о Storm-2755 — злоумышленнике, проводящем так называемые атаки payroll pirate против пользователей в Канаде. Для IT- и security-команд эта кампания особенно примечательна тем, что сочетает SEO poisoning, malvertising и adversary-in-the-middle (AiTM) phishing для перехвата аутентифицированных сессий и перенаправления зарплатных выплат сотрудников.

Это важно не только для Канады: такие техники могут быть повторно использованы против любой организации, которая полагается на Microsoft 365 и онлайн-платформы HR или payroll.

Что нового

По данным Microsoft, Storm-2755 использовал отдельную цепочку атак, ориентированную на широкий географический таргетинг пользователей в Канаде, а не на одну конкретную отрасль.

Ключевые наблюдаемые техники

• SEO poisoning и malvertising направляли жертв на домены, контролируемые злоумышленником, через запросы вроде “Office 365” и похожие опечатки.
• Жертвы попадали на поддельную страницу входа Microsoft 365, созданную для кражи учетных данных и session token.
• Злоумышленник применял AiTM-техники для перехвата session cookie и OAuth token, что позволяло обходить MFA, не устойчивую к phishing.
• Microsoft зафиксировала подозрительную активность с user-agent Axios 1.7.9 и связала этот сценарий с известными злоупотреблениями, связанными с Axios, включая риски CVE-2025-27152.
• После получения доступа Storm-2755 искал ресурсы, связанные с payroll и HR, а затем выдавал себя за сотрудников в письмах с темами вроде “Question about direct deposit.”
• В некоторых случаях злоумышленник также создавал правила inbox, чтобы скрывать сообщения с такими словами, как “direct deposit” или “bank.”

Влияние на администраторов и организации

Наиболее очевидный риск — прямые финансовые потери. После компрометации учетной записи злоумышленник может использовать легитимные сессии, чтобы сливаться с обычной бизнес-активностью, что затрудняет обнаружение.

Администраторам также следует учитывать, что традиционного MFA не всегда достаточно против кражи token. Поскольку AiTM-атаки воспроизводят уже аутентифицированные сессии, организации, полагающиеся на устаревшие методы MFA, могут оставаться уязвимыми.

Что IT-командам делать дальше

Microsoft рекомендует в первую очередь внедрять меры, снижающие риск повторного использования token и успешности phishing.

Рекомендуемые действия

• Внедрить phishing-resistant MFA, например FIDO2/WebAuthn.
• Проверить журналы входа на наличие ошибки 50199, необычной непрерывности сессий и активности с user-agent Axios.
• Отслеживать повторяющиеся неинтерактивные входы в приложения вроде OfficeHome, Outlook, My Sign-Ins и My Profile.
• Проверить правила inbox на ключевые слова, связанные с банковскими данными или direct deposit.
• Исследовать подозрительный доступ к HR- и payroll-платформам, таким как Workday.
• Отозвать активные session token и сбросить учетные данные для предположительно скомпрометированных учетных записей.
• Обучать пользователей распознавать phishing через результаты поиска и поддельные страницы входа Microsoft 365.

Итог

Storm-2755 показывает, как современные phishing-кампании эволюционируют от простой кражи учетных данных к перехвату сессий с реальными финансовыми последствиями. Организациям, использующим Microsoft 365, следует пересмотреть использование phishing-resistant аутентификации, усилить мониторинг аномального поведения при входе и наладить взаимодействие между security- и HR-командами по проверке изменений payroll.