{{Storm-2755 napadi na platni spisak u Kanadi}}
Sažetak
{{Microsoft je objavio detalje finansijski motivisane kampanje Storm-2755 usmerene na zaposlene u Kanadi kroz napade na preusmeravanje plata. Akter pretnje koristio je SEO poisoning, malvertising i adversary-in-the-middle tehnike za krađu sesija, zaobilaženje zastarelog MFA i izmenu podataka za direktnu uplatu, što phishing-resistant MFA i nadzor sesija čini ključnom odbranom.}}
{{# Storm-2755 napadi na platni spisak ciljaju zaposlene u Kanadi
Uvod
Microsoft Incident Response je objavio nova saznanja o Storm-2755, akteru pretnje koji sprovodi takozvane payroll pirate napade protiv korisnika u Kanadi. Za IT i bezbednosne timove, ova kampanja je značajna jer kombinuje SEO poisoning, malvertising i adversary-in-the-middle (AiTM) phishing kako bi preuzela autentifikovane sesije i preusmerila isplate plata zaposlenih.
Ovo je važno i van Kanade: isti pristup može se ponovo upotrebiti protiv bilo koje organizacije koja se oslanja na Microsoft 365 i onlajn HR ili payroll platforme.
Šta je novo
Microsoft navodi da je Storm-2755 koristio poseban lanac napada usmeren na široko geografsko ciljanje korisnika u Kanadi, a ne na jednu konkretnu industriju.
Ključne uočene tehnike
- SEO poisoning i malvertising usmeravali su žrtve ka domenima pod kontrolom napadača kroz pretrage poput “Office 365” i sličnih pogrešno napisanih termina.
- Žrtve su preusmeravane na lažnu Microsoft 365 stranicu za prijavu dizajniranu za krađu akreditiva i tokena sesije.
- Akter je koristio AiTM tehnike za prikupljanje kolačića sesije i OAuth tokena, što mu je omogućilo da zaobiđe MFA koji nije otporan na phishing.
- Microsoft je uočio sumnjivu aktivnost Axios 1.7.9 user-agent i povezao tok sa poznatim zloupotrebama povezanim sa Axios, uključujući zabrinutosti oko CVE-2025-27152.
- Nakon pristupa, Storm-2755 je pretraživao resurse povezane sa payroll i HR funkcijama, a zatim se predstavljao kao zaposleni kroz poruke kao što je “Question about direct deposit.”
- U nekim slučajevima, akter je takođe kreirao inbox rules kako bi sakrio poruke koje sadrže izraze poput “direct deposit” ili “bank.”
Uticaj na administratore i organizacije
Najneposredniji rizik je direktan finansijski gubitak. Kada je nalog kompromitovan, napadač može koristiti legitimne sesije da bi se uklopio u uobičajene poslovne aktivnosti, što otežava otkrivanje.
Administratori takođe treba da imaju u vidu da tradicionalni MFA nije uvek dovoljan protiv krađe tokena. Pošto AiTM napadi ponavljaju autentifikovane sesije, organizacije koje se oslanjaju na zastarele MFA metode i dalje mogu biti izložene.
Šta IT timovi treba sledeće da urade
Microsoft preporučuje da se prioritet da merama koje smanjuju replay tokena i uspešnost phishing napada.
Preporučene aktivnosti
- Uvedite phishing-resistant MFA, kao što je FIDO2/WebAuthn.
- Pregledajte sign-in logove zbog error 50199, neuobičajenog session continuity i Axios user-agent aktivnosti.
- Pratite ponovljene non-interactive sign-ins za aplikacije kao što su OfficeHome, Outlook, My Sign-Ins i My Profile.
- Proverite inbox rules za ključne reči povezane sa bankarstvom ili direct deposit.
- Istražite sumnjiv pristup HR i payroll platformama kao što je Workday.
- Opozovite aktivne tokene sesije i resetujte akreditive za naloge za koje se sumnja da su kompromitovani.
- Edukujte korisnike o phishing napadima kroz rezultate pretrage i lažnim Microsoft 365 stranicama za prijavu.
Zaključak
Storm-2755 pokazuje kako savremene phishing kampanje evoluiraju od jednostavne krađe akreditiva ka preuzimanju sesija sa stvarnim finansijskim posledicama. Organizacije koje koriste Microsoft 365 treba da preispitaju autentifikaciju otpornu na phishing, ojačaju nadzor nad anomalnim ponašanjem pri prijavi i usklade bezbednosne i HR timove oko procesa verifikacije promena u isplati plata.}}
Trebate pomoć sa Security?
Naši stručnjaci mogu vam pomoći da implementirate i optimizujete vaša Microsoft rešenja.
Razgovarajte sa stručnjakomBudite u toku sa Microsoft tehnologijama