Storm-2657 olarak takip edilen bir siber suç çetesi, Mart 2025'ten bu yana "korsan maaş bordrosu" saldırılarıyla maaş ödemelerini kaçırmak için ABD'deki üniversite çalışanlarını hedef alıyor.
Bu kampanyayı tespit eden Microsoft Tehdit İstihbaratı analistleri, tehdit aktörlerinin Workday hesaplarını hedef aldığını tespit etti; ancak diğer üçüncü taraf insan kaynakları (İK) hizmet olarak yazılım (SaaS) platformları da risk altında olabilir.
Microsoft Perşembe günkü bir raporunda, "Üç üniversitede, 25 üniversitedeki yaklaşık 6.000 e-posta hesabına kimlik avı e-postaları göndermek için kullanılan, güvenliği ihlal edilmiş 11 hesabı gözlemledik" dedi.
"Bu saldırılar, Workday platformunda veya ürünlerinde herhangi bir güvenlik açığını temsil etmiyor; daha ziyade, karmaşık sosyal mühendislik taktikleri kullanan ve hesapları tehlikeye atmak için çok faktörlü kimlik doğrulamanın (MFA) tamamen yokluğundan veya kimlik avına karşı dayanıklı MFA'nın bulunmamasından yararlanan, finansal motivasyona sahip tehdit aktörlerini temsil ediyor."
Saldırganlar, kimlik avı e-postalarında her hedef için özel olarak tasarlanmış, kampüsteki hastalık salgınlarına ilişkin uyarılardan öğretim üyelerinin suiistimal raporlarına ve alıcıları kimlik avı bağlantılarına tıklamaları için kandırmaya kadar çeşitli temalar kullanıyor.
Diğer örnekler arasında üniversite rektörünün kimliğine bürünen e-postalar, tazminat ve sosyal haklarla ilgili bilgilerin paylaşılması veya İK tarafından paylaşılan sahte belgeler yer alıyor.
Bu saldırılarda Storm-2657, MFA kodlarını çalmak için ortadaki rakip (AITM) bağlantılarını kullanan kimlik avı e-postaları yoluyla kurbanların hesaplarının güvenliğini ihlal etti ve tehdit aktörlerinin Exchange Online hesaplarına erişmesine olanak sağladı.
İhlal edilen hesaplara girdikten sonra, Workday uyarı bildirim e-postalarını silmek için gelen kutusu kuralları ayarlayarak maaş ödeme yapılandırmalarını değiştirmek ve mağdurların Workday profillerine tek oturum açma (SSO) aracılığıyla eriştikten sonra ödemeleri kendi kontrolleri altındaki hesaplara yönlendirmek de dahil olmak üzere diğer değişiklikleri gizlemelerine olanak tanıyor.
Microsoft, "Workday'deki e-posta hesaplarının ele geçirilmesinin ve bordro değişikliklerinin ardından, tehdit aktörü yeni erişilen hesaplardan yararlanarak hem kuruluş içinde hem de dışarıdan diğer üniversitelere daha fazla kimlik avı e-postası dağıttı" diye ekledi.
Bazı durumlarda tehdit aktörleri, kalıcılığı sağlamak için Workday profilleri veya Duo MFA ayarları aracılığıyla ele geçirilen hesaplar için kendi telefon numaralarını MFA cihazları olarak kaydettirdiler. Bu, kendi cihazlarında daha fazla kötü amaçlı eylemi onaylayarak tespit edilmekten kurtulmalarına olanak tanıdı.
Microsoft, etkilenen müşterileri belirledi ve hafifletme çabalarına yardımcı olmak için bazılarıyla iletişime geçti. Bugünkü raporda şirket, bu saldırıların araştırılmasına ve bunların engellenmesine ve kullanıcı hesaplarının korunmasına yardımcı olmak için kimlik avına karşı dayanıklı MFA'nın uygulanmasına yönelik yönergeleri de paylaştı.
Bunlar gibi "maaş bordrosu korsanlığı" saldırıları, düzenli olarak banka havalesi ödemeleri yapan işletmeleri ve bireyleri hedef alan iş e-postası ihlali (BEC) dolandırıcılığının bir çeşididir.
2024 yılında, FBI'ın İnternet Suçları Şikayet Merkezi (IC3) 21.000'den fazla BEC dolandırıcılık şikayeti kaydetti ve bunun sonucunda 2,7 milyar doların üzerinde kayıp yaşandı ve bu, yatırım dolandırıcılıklarının ardındaki en kazançlı ikinci suç türü oldu.
Ancak bu rakamlar, doğrudan mağdurlar tarafından bildirilen veya kolluk kuvvetleri tarafından keşfedilen bilinen vakalara dayanmaktadır ve bu nedenle muhtemelen gerçek kayıpların yalnızca bir kısmını temsil etmektedir.
İhlal ve Saldırı Simülasyon Zirvesine katılın ve güvenlik doğrulamanın geleceğini deneyimleyin. En iyi uzmanlardan bilgi alın ve yapay zeka destekli BAS'ın ihlal ve saldırı simülasyonunu nasıl dönüştürdüğünü görün.
Güvenlik stratejinizin geleceğini şekillendirecek etkinliği kaçırmayın
Microsoft: Fidye yazılımı saldırılarında yararlanılan kritik GoAnywhere hatası
Kosovalı hacker BlackDB siber suç pazarını yönetmekten suçunu kabul etti
Windows 11 23H2 Home ve Pro 30 gün içinde desteğin sonuna ulaşıyor
Windows 11 23H2 Home ve Pro, 60 gün içinde desteğin sonuna ulaşıyor
Windows'taki Copilot artık e-postaya bağlanabiliyor, Office belgeleri oluşturabiliyor
Kaynak: Bleeping Computer