З весни 2025 року група Storm‑2657 проводить цілеспрямовані атаки на американські університети, намагаючись перехопити виплати співробітникам через підміну банківських реквізитів в HR‑системах. За даними Microsoft Threat Intelligence, зловмисники отримують контроль над обліковими записами, змінюють налаштування виплат і перенаправляють зарплати на підконтрольні рахунки. Подібні кампанії раніше описувалися дослідниками Silent Push, Malwarebytes та Hunt.io під умовною назвою Payroll Pirates.
Чому вища освіта й HR‑SaaS — приваблива мішень для соціальної інженерії
Університети керують тисячами розподілених акаунтів і часто покладаються на сторонні HR‑платформи (наприклад, Workday). Поєднання єдиного входу (SSO), неоднорідних політик MFA і високого рівня довіри до внутрішньої пошти спрощує компрометацію. Будь‑яка SaaS‑система, де обробляються персональні дані, реквізити платежів і зарплатні доручення, становить інтерес для зловмисників.
Ланцюг атаки: від фішингу до підміни платіжних реквізитів
У першій половині 2025 року фіксувалися розсилки, що збирали логіни та коди багато факторної автентифікації на підроблених сторінках. Після викрадення паролів і сесійних токенів нападники входили в пошту (Exchange Online), а далі — у HR‑SaaS через SSO, використовуючи вже «довірену» корпоративну сесію.
Зловживання SSO та слабкою MFA
SSO спрощує користувацький доступ, але за компрометації облікових даних надає «сквозний» доступ до інтегрованих додатків. Недостатньо захищена MFA (наприклад, SMS‑коди) підвищує ризик перехоплення або підтвердження шахрайських запитів. У низці випадків Storm‑2657 додавала власні номери телефонів як фактор MFA, що закріплювало довготривалий контроль і ускладнювало відновлення.
Приховування слідів через правила пошти
Після входу до поштових скриньок зловмисники створювали серверні правила, які приховували або видаляли сповіщення від HR‑платформ. Це маскувало несанкціоновані зміни профілю та реквізитів виплат. Компрометовані акаунти використовувалися як джерело подальших фішингових розсилок всередині вишу та до інших установ, що підсилювало довіру завдяки легітимному домену відправника.
Масштаб і охоплення кампанії
За оцінками Microsoft, із березня 2025 року зафіксовано 11 успішно скомпрометованих акаунтів у трьох університетах США. Використовуючи ці ящики, нападники надіслали майже 6000 фішингових листів адресатам у 25 інших вишах. Теми повідомлень апелювали до терміновості та соціального контексту (хвороби співробітників, надзвичайні події на кампусі), спонукаючи перейти за шкідливими посиланнями.
Поза Workday: ризики для всієї екосистеми HR‑сервісів
Хоча метою часто ставав Workday, застосована методика універсальна для будь‑якої хмарної HR‑платформи: зарплатні сервіси, системи пільг, кадрові портали. Типові тактики і техніки включають: фішинг облікових даних (MITRE ATT&CK T1566), використання легітимних акаунтів (T1078), маніпуляції з автентифікацією та MFA (T1098/T1556), правила пошти для приховування слідів (T1114). Акцент зміщено з експлуатації вразливостей на соціальну інженерію та зловживання довіреними механізмами доступу.
Практичні кроки захисту для університетів і організацій
- Фішингостійка MFA: впровадження FIDO2/WebAuthn (апаратні ключі), відмова від SMS/voice; вимога повторної MFA для високоризикових дій (зміна реквізитів виплат).
- Керування SSO і сесіями: скорочення TTL токенів, політики умовного доступу та ризик‑сигнали, заборона застарілої автентифікації.
- Моніторинг поштових правил: алерти на створення/зміну серверних правил, що приховують листи від HR‑систем і служби безпеки.
- Аудит факторів MFA: регулярна перевірка «довірених» телефонів/токенів, оперативне відкликання підозрілих прив’язок.
- Перевірка payroll‑змін поза каналом: обов’язкове out‑of‑band підтвердження будь‑яких змін банківських реквізитів.
- Навчання та симуляції фішингу: сценарії, що імітують HR‑повідомлення та «термінові» оповіщення кампусу.
- Журнали й аналітика: відстеження нетипових входів/агентів, масових розсилок, а також аномалій у профілях HR‑SaaS.
Кампанія Storm‑2657 демонструє зсув акценту до атак, які експлуатують легітимну автентифікацію, SSO та людський фактор. Щоб знизити ризик перехоплення зарплат і швидше виявляти інциденти, варто пріоритезувати фішингостійку MFA, зміцнити контроль за сесіями й точками зміни платіжних даних та запровадити моніторинг поштових правил. Освітнім закладам і компаніям доцільно провести позаплановий аудит MFA‑налаштувань, перевірити канали підтвердження payroll‑операцій та підвищити обізнаність співробітників щодо сучасних фішингових прийомів.
