Seit März 2025 registriert Microsoft Threat Intelligence gezielte Angriffe der Gruppe Storm‑2657 auf US‑Universitäten. Das Ziel: die Kompromittierung von HR‑Plattformen wie Workday, um Bankdaten in Mitarbeiterprofilen zu manipulieren und Gehälter an kontrollierte Konten umzuleiten. Ähnliche Aktivitäten kursieren in der Forschungsgemeinschaft unter der Bezeichnung Payroll Pirates (u. a. Silent Push, Malwarebytes, Hunt.io).
Warum Hochschulen und HR‑SaaS im Visier stehen
Hochschulen betreiben verteilte IT‑Landschaften mit vielen Nutzerkonten, häufigem Einsatz externer HR‑SaaS und Single Sign‑On (SSO). Diese Kombination begünstigt Social‑Engineering‑basierte Angriffe. Jede Plattform, die Personal- und Zahlungsdaten verarbeitet, ist für Angreifer attraktiv, weil erfolgreiche Kontoübernahmen direkten finanziellen Ertrag versprechen.
Angriffsweg: Phishing, Session‑Hijacking und SSO‑Durchgriff
Die Erstkompromittierung erfolgt über Phishing: Opfer geben Anmeldedaten und MFA‑Codes auf täuschend echten Seiten ein. Mit Sitzungstoken und Passwörtern verschaffen sich die Täter Zugang zu Exchange Online und nutzen die bestehende Unternehmenssitzung, um via SSO in HR‑Systeme zu gelangen. SSO vereinfacht legitimen Nutzern die Anmeldung, bietet Angreifern jedoch bei kompromittierten Credentials einen Durchgriff auf verbundene Apps.
MFA‑Schwächen und Persistenz
Fehlende oder schwache MFA‑Verfahren (z. B. SMS‑Codes) erhöhen das Risiko. In mehreren Fällen band Storm‑2657 eigene Telefonnummern als MFA‑Geräte an kompromittierte Konten, was die Wiedererlangung der Kontokontrolle erschwerte und die Persistenz sicherstellte. NIST SP 800‑63B und CISA empfehlen seit Längerem phishing‑resistente Authentikatoren wie FIDO2/WebAuthn.
Spurenverwischung über E‑Mail‑Regeln
Nach dem Login in kompromittierte Postfächer legten die Täter serverseitige E‑Mail‑Regeln an, die Benachrichtigungen aus HR‑Systemen automatisch verschoben oder löschten. So blieben unautorisierte Änderungen an Profilen und Zahlungsdaten oft unbemerkt. Die legitimen Absenderdomänen wurden anschließend für weitere interne und externe Phishing‑Wellen missbraucht.
Ausmaß und Taktiken: Zahlen und MITRE‑Mapping
Microsoft berichtet seit März 2025 von 11 kompromittierten Konten in drei US‑Universitäten. Diese Postfächer dienten als Sprungbrett für knapp 6.000 Phishing‑E‑Mails an Empfänger in 25 weiteren Hochschulen. Die Betreffzeilen setzten auf Dringlichkeit und sozialen Kontext, etwa Krankheitsmeldungen oder Campus‑Sicherheitsvorfälle.
Die beobachteten Techniken decken sich mit MITRE ATT&CK: Credential Phishing (T1566), Valid Accounts (T1078), Manipulation von MFA/Authentifizierung (T1098/T1556) sowie Exfiltration/Manipulation über Mail‑Regeln (T1114). Im Fokus steht weniger die Ausnutzung technischer Schwachstellen, sondern das Ausnutzen legitimer Zugänge und Social Engineering.
Risiken über Workday hinaus: Jede HR‑Plattform ist potenziell betroffen
Auch wenn Workday in mehreren Fällen Ziel war, ist die Methode auf beliebige Payroll‑, Benefits‑ und HR‑Portale übertragbar. Wo SSO Vertrauen bündelt und schwache MFA im Einsatz ist, eröffnet eine Kontoübernahme weitreichenden Zugriff auf sensible Daten und Auszahlungsprozesse.
Empfohlene Gegenmaßnahmen für Hochschulen und Organisationen
Phishing‑resistente MFA: FIDO2/WebAuthn einführen, SMS/Sprachanrufe deaktivieren; MFA für risikoreiche Aktionen wie Änderungen von Bankdaten erzwingen.
SSO‑ und Token‑Härtung: Sitzungslebensdauer begrenzen, Conditional Access und risikobasierte Richtlinien aktivieren, Legacy‑Authentifizierung abschalten.
Monitoring von E‑Mail‑Regeln: Alarme für Erstellung/Änderung serverseitiger Regeln, insbesondere für Nachrichten aus HR‑Systemen.
MFA‑Geräte-Audit: Regelmäßige Prüfung vertrauenswürdiger Geräte/Nummern, rascher Widerruf verdächtiger Bindungen.
Out‑of‑Band‑Verifikation: Änderungen an Auszahlungsdaten stets unabhängig bestätigen (z. B. Telefonat an bekannte Nummer).
Awareness und Simulationen: Schulungen mit HR‑bezogenen Phishing‑Szenarien und Übungen zu Campus‑Sicherheitsmeldungen.
Telemetrie und Alerts: Ungewöhnliche Logins (Standorte/Agenten), Massenversand sowie anomale Profiländerungen in HR‑SaaS überwachen.
Organisationen sollten die Umstellung auf phishing‑resistente Authentifizierung beschleunigen, Kontrollpunkte rund um Payroll‑Änderungen einziehen und E‑Mail‑Regeln aktiv überwachen. In Kombination senkt dies die Erfolgsaussichten von Social‑Engineering‑Angriffen, verkürzt die Time‑to‑Detect und reduziert das Risiko der Gehaltsumleitung signifikant.
