Một tác nhân đe dọa có tên Storm-2657 đã bị phát hiện chiếm đoạt tài khoản của nhân viên với mục đích cuối cùng là chuyển tiền lương vào các tài khoản do kẻ tấn công kiểm soát.

Nhóm Microsoft Threat Intelligence cho biết trong một báo cáo: "Storm-2657 đang tích cực nhắm mục tiêu vào một loạt các tổ chức có trụ sở tại Hoa Kỳ, đặc biệt là nhân viên trong các lĩnh vực như giáo dục đại học, để có quyền truy cập vào các nền tảng phần mềm quản lý nguồn nhân lực (HR) của bên thứ ba dưới dạng dịch vụ (SaaS) như Workday " .

Tuy nhiên, gã khổng lồ công nghệ cảnh báo rằng bất kỳ nền tảng phần mềm dưới dạng dịch vụ (SaaS) nào lưu trữ thông tin nhân sự, thanh toán và tài khoản ngân hàng đều có thể là mục tiêu của các chiến dịch có động cơ tài chính như vậy. Một số khía cạnh của chiến dịch, có tên mã là Payroll Pirates , trước đây đã được Silent Push, Malwarebytes và Hunt.io nêu bật.

Điều đáng chú ý là các cuộc tấn công này không khai thác bất kỳ lỗ hổng bảo mật nào trong chính các dịch vụ. Thay vào đó, chúng lợi dụng các chiến thuật tấn công phi kỹ thuật và việc thiếu bảo vệ xác thực đa yếu tố (MFA) để chiếm quyền kiểm soát tài khoản của nhân viên và cuối cùng sửa đổi thông tin thanh toán để chuyển hướng chúng đến các tài khoản do kẻ tấn công quản lý.

Trong một chiến dịch được Microsoft quan sát vào nửa đầu năm 2025, kẻ tấn công được cho là đã có được quyền truy cập ban đầu thông qua email lừa đảo được thiết kế để thu thập thông tin đăng nhập và mã MFA của họ bằng cách sử dụng liên kết lừa đảo ở giữa (AitM), do đó có được quyền truy cập vào tài khoản Exchange Online của họ và chiếm đoạt hồ sơ Workday thông qua đăng nhập một lần (SSO).

Các tác nhân đe dọa cũng được phát hiện đã tạo ra các quy tắc hộp thư đến để xóa email cảnh báo đến từ Workday nhằm che giấu những thay đổi trái phép được thực hiện trên hồ sơ. Điều này bao gồm việc thay đổi cấu hình thanh toán lương để chuyển hướng các khoản thanh toán lương trong tương lai đến các tài khoản do chúng kiểm soát.

Để đảm bảo quyền truy cập liên tục vào tài khoản, kẻ tấn công đăng ký số điện thoại của chúng làm thiết bị MFA cho tài khoản nạn nhân. Hơn nữa, các tài khoản email bị xâm phạm được sử dụng để phát tán thêm email lừa đảo, cả trong nội bộ tổ chức và đến các trường đại học khác.

Microsoft cho biết họ đã phát hiện 11 tài khoản bị xâm nhập thành công tại ba trường đại học kể từ tháng 3 năm 2025, được sử dụng để gửi email lừa đảo đến gần 6.000 tài khoản email tại 25 trường đại học. Các email này chứa nội dung dụ dỗ liên quan đến bệnh tật hoặc thông báo về hành vi sai trái trong khuôn viên trường, tạo ra cảm giác cấp bách giả tạo và lừa người nhận nhấp vào các liên kết giả mạo.

Để giảm thiểu rủi ro do Storm-2657 gây ra, bạn nên áp dụng các phương pháp MFA không cần mật khẩu, chống lừa đảo như khóa bảo mật FIDO2 và xem xét các tài khoản để tìm dấu hiệu hoạt động đáng ngờ, chẳng hạn như thiết bị MFA không xác định và quy tắc hộp thư đến độc hại.