A Storm-2755 néven azonosított pénzügyi motivációjú kiberbűnözői csoport kanadai munkavállalók fizetéseit veszi célba. A támadások az úgynevezett „payroll pirate” módszerre épülnek, amely során a támadók vállalati fiókok kompromittálása után a munkabér utalási adatait manipulálva eltérítik a kifizetéseket.
A támadási lánc (1. ábra) első szakaszában a támadók rosszindulatú Microsoft 365 bejelentkezési oldalakat használtak, amelyek SEO poisoning és malvertising technikák segítségével kerültek a keresőtalálatok élére. A felhasználókat ezekre az oldalakra irányítva szerezték meg a hitelesítési adatokat, valamint munkamenet-cookie-kat és tokeneket. Az így megszerzett információk lehetővé tették az adversary-in-the-middle (AiTM) támadási módszer alkalmazását, amellyel a többfaktoros hitelesítés (MFA) is megkerülhető.
A Microsoft szerint az AiTM keretrendszerek valós időben proxyzzák a teljes hitelesítési folyamatot, így a sikeres bejelentkezést követően megszerezhetők a munkamenet-cookie-k és az OAuth-hozzáférési tokenek. Ez lehetővé teszi, hogy a támadók anélkül férjenek hozzá Microsoft szolgáltatásokhoz, hogy ismételten meg kellene adniuk a hitelesítő adatokat vagy az MFA-kódokat, ezzel megkerülve a hagyományos védelmi mechanizmusokat.
A fiókok kompromittálása után a támadók automatikus levelezési szabályokat hoztak létre, amelyek elrejtették a HR osztálytól érkező, „direct deposit” vagy „bank” kifejezéseket tartalmazó üzeneteket. Ezzel párhuzamosan célzott kereséseket végeztek a levelezésben, majd megtévesztő e-mailek segítségével rávették a HR-munkatársakat a bankszámlaadatok módosítására (2. ábra). Amikor a social engineering módszer önmagában nem bizonyult elegendőnek, a támadók közvetlenül is bejelentkeztek a HR-platformokra, például a Workday rendszerbe, ahol a korábban megszerzett munkamenetekkel módosították a bérkifizetési adatokat.
A Microsoft a kockázatok csökkentése érdekében javasolja:
- az elavult hitelesítési protokollok letiltását, valamint
- adathalászat-ellenálló többfaktoros hitelesítési megoldások bevezetését.
Kompromittálás gyanúja esetén kiemelten fontos:
- a munkamenetek és tokenek azonnali visszavonása,
- a rosszindulatú levelezési-szabályok eltávolítása, valamint
- az MFA-beállítások visszaállítása az érintett fiókoknál.
A „payroll pirate” típusú támadások a Business Email Compromise (BEC) csalások egy speciális típusa, melyekkel a kiberbűnözők világszerte jelentős pénzügyi károkat okoznak.