Storm-2657 として追跡されているサイバー犯罪集団は、2025 年 3 月以降、米国の大学職員を標的として、「海賊給与」攻撃で給与の支払いをハイジャックしています。
このキャンペーンを発見した Microsoft Threat Intelligence のアナリストは、脅威の主体が Workday のアカウントを標的にしていることを突き止めましたが、他のサードパーティの人事 (HR) Software-as-a-Service (SaaS) プラットフォームも危険にさらされている可能性があります。
「マイクロソフト社は木曜日に発表した報告書の中で、「我々は、3つの大学で11のアカウントの侵害に成功し、25の大学にわたる約6,000のメールアカウントにフィッシングメールを送信するために使用されたことを確認している。
「これらの攻撃は Workday のプラットフォームや製品の脆弱性を示すものではなく、洗練されたソーシャルエンジニアリングの手口を使い、多要素認証 (MFA) の完全な欠如やフィッシングに耐性のある MFA の欠如を利用してアカウントを侵害する、金銭的な動機のある脅威行為者です。
攻撃者は、学内での病気の流行に関する警告から教員の不正行為に関する報告まで、ターゲットごとにカスタムメイドされた複数のテーマをフィッシング・メールに使用し、受信者を騙してフィッシング・リンクをクリックさせている。
その他にも、学長になりすましたメール、報酬や福利厚生に関する情報の共有、人事部が共有する偽の文書などがあります。
これらの攻撃では、Storm-2657は、敵対的中間者(AITM)リンクを使用してMFAコードを盗むフィッシングメールを介して被害者のアカウントを侵害し、脅威行為者がExchange Onlineアカウントにアクセスできるようにしました。
侵入されたアカウントでは、受信トレイのルールを設定して Workday の警告通知メールを削除し、シングル サインオン (SSO) を通じて被害者の Workday プロファイルにアクセスした後、給与の支払い設定を変更したり、支払いを自分の管理下にあるアカウントにリダイレクトしたりするなど、さらなる変更を隠蔽することができました。
「電子メールアカウントの漏洩と Workday での給与支払いの変更に続いて、脅威者は新たにアクセスしたアカウントを利用して、組織内および他の大学への外部に向けて、さらにフィッシングメールを配信しました」と Microsoft は付け加えています。
また、Workday のプロファイルや Duo の MFA 設定を利用して、侵害されたアカウントの MFA デバイスとして自分の電話番号を登録し、永続性を確立するケースもありました。これにより、自分のデバイスでさらなる悪意のあるアクションを承認することで、検知を逃れることができた。
マイクロソフトは、影響を受けた顧客を特定し、その一部に対して被害軽減のための支援を行いました。また、本日のレポートでは、これらの攻撃を調査し、フィッシングに耐性のあるMFAを導入することで、これらの攻撃をブロックし、ユーザーアカウントを保護するためのガイダンスを公開しています。
このような “Payroll pirate “攻撃は、ビジネスメール詐欺(BEC)の一種であり、定期的に電信送金を行う企業や個人を標的としています。
2024年、FBIのインターネット犯罪苦情センター(IC3)は、21,000件以上のBEC詐欺の苦情を記録し、27億ドル以上の損失をもたらしました。
しかし、これらの数字は、被害者から直接報告されたり、法執行機関によって発見された既知のケースに基づいているため、実際の損失のほんの一部に過ぎない可能性が高い。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
今年のセキュリティ検証イベントPicus BASサミット
Breach and Attack Simulation Summitに参加して、セキュリティ検証の未来を体験してください。一流の専門家から話を聞き、AIを搭載したBASが侵害と攻撃のシミュレーションをどのように変革するかをご覧ください。
セキュリティ戦略の未来を形作るイベントをお見逃しなく。
Comments