Группа Storm-2657 ведет целевые атаки на американские университеты с марта 2025 года, нацеливаясь на HR‑платформы и платежные данные сотрудников. По данным Microsoft Threat Intelligence, злоумышленники захватывают учетные записи, меняют реквизиты выплат и перенаправляют зарплаты на подконтрольные счета. Ранее схожую активность под названием Payroll Pirates описывали исследователи из Silent Push, Malwarebytes и Hunt.io.
Почему высшее образование и HR‑SaaS — удобные цели для атак
Университеты оперируют большим количеством распределенных учетных записей и используют внешние HR‑сервисы, такие как Workday, что делает их привлекательными для атак, основанных на социальной инженерии. Любая SaaS‑платформа, где обрабатываются HR‑данные, банковские реквизиты и платежные поручения, представляет интерес для злоумышленников, подчеркивает Microsoft. Комбинация SSO, недостатков MFA и доверия к внутренней переписке увеличивает вероятность успешного компромата.
Как работает схема: от фишинга до подмены реквизитов
В первой половине 2025 года Microsoft наблюдала кампании, где первичный доступ осуществлялся через фишинговые письма, собирающие логины и коды многофакторной аутентификации на фальшивых страницах. После кражи сессионных токенов и паролей атакующие входили в Exchange Online и получали доступ к Workday через SSO, используя уже доверенную корпоративную сессию.
Захват через SSO и ослабленная MFA
SSO упрощает доступ пользователям, но при компрометации учетных данных дает злоумышленнику «сквозной» проход к интегрированным приложениям. Отсутствие или устаревшие механизмы MFA (например, SMS‑коды) повышают риск перехвата. В ряде случаев Storm-2657 привязывала собственные телефонные номера к аккаунтам жертв для MFA, укрепляя постоянный доступ и усложняя восстановление контроля.
Скрытие следов: правила в почте и рассылка с компрометированных ящиков
После входа в почтовые ящики злоумышленники создавали правила на стороне сервера, автоматически удаляющие уведомления от Workday. Это позволяло скрывать несанкционированные изменения профиля и платежных реквизитов. Компрометированные почтовые аккаунты затем использовались для дальнейших фишинговых рассылок внутри университета и по другим вузам, повышая доверие за счет легитимных доменов отправителя.
Масштаб: от единичных компрометаций до тысяч целей
С марта 2025 года Microsoft зафиксировала 11 успешно скомпрометированных учетных записей в трех университетах США. Эти ящики применялись для отправки почти 6000 фишинговых писем адресатам в 25 других вузах. Темы писем эксплуатировали срочность и социальный контекст: сообщения о болезнях сотрудников или инцидентах на кампусе побуждали получателей переходить по фальшивым ссылкам.
Риски выходят за пределы Workday: под угрозой любой HR‑SaaS
Хотя в ряде случаев целью было Workday, методика Storm-2657 применима к любой облачной HR‑системе и смежным платформам (зарплатные сервисы, системы льгот, кадровые порталы). Типовой набор TTP включает фишинг учетных данных (MITRE ATT&CK T1566), использование легитимных учеток (T1078), манипуляции с аутентификацией и MFA (T1098/T1556) и правилами почты для сокрытия следов (T1114). Фокус смещен не на эксплуатацию уязвимостей, а на социальную инженерию и злоупотребление доверенными механизмами доступа.
Практические меры защиты для вузов и организаций
- Фишинг-устойчивое MFA: внедрить FIDO2/WebAuthn аппаратные ключи, отключить SMS/голосовые коды; требовать MFA при высокорисковых операциях (смена реквизитов выплат).
- Контроль SSO и токенов: ограничить срок жизни сессий, включить условный доступ и политики риска, запретить устаревшие протоколы и легаси-аутентификацию.
- Мониторинг почтовых правил: оповещения при создании/изменении правил на сервере, особенно скрывающих письма от HR‑систем.
- Аудит MFA-устройств: регулярная проверка «доверенных» телефонов/токенов в учетных записях, отзыв подозрительных привязок.
- Процедуры payroll‑верификации: независимое (out‑of‑band) подтверждение любых изменений банковских реквизитов сотрудника.
- Обучение и симуляции фишинга: сценарии, имитирующие HR‑уведомления и «срочные» сообщения о безопасности кампуса.
- Журналы и оповещения: отслеживание входов из нетипичных локаций/агентов, массовых рассылок и аномальных правок профилей в HR‑SaaS.
Кампании Storm-2657 подтверждают смещение атак в сторону злоупотребления легитимной аутентификацией и SSO, где ключевую роль играют социальная инженерия и слабая MFA. Организациям стоит ускорить переход на фишинг‑устойчивые методы, выстроить контрольные точки вокруг изменений платежных данных и внедрить мониторинг почтовых правил. Это снизит вероятность компрометации и позволит быстрее обнаруживать и пресекать попытки хищения зарплат.
