Исследователи Microsoft раскрыли детали новой финансово мотивированной кампании, в ходе которой злоумышленники успешно перенаправляли выплаты заработной платы на подконтрольные им банковские счета. Атака, получившая название "пиратство зарплат" (payroll pirate attack), была нацелена исключительно на пользователей в Канаде и отличалась нестандартным вектором первоначального доступа. Вместо таргетированных фишинговых писем или эксплуатации уязвимостей в корпоративном периметре, группа, отслеживаемая как Storm-2755, использовала отравление результатов поисковых систем (SEO poisoning) и вредоносную рекламу (malvertising) для кражи учетных данных. Это позволило им обходить многофакторную аутентификацию (MFA) и длительное время оставаться незамеченными внутри корпоративных систем, маскируясь под легитимную активность сотрудников.
Описание
Кампания демонстрирует эволюцию угроз, направленных на прямую финансовую выгоду, и подчеркивает уязвимость даже самых рутинных бизнес-процессов, таких как работа с зарплатными ведомостями. В отличие от традиционных атак на бухгалтерию, которые часто фокусируются на конкретных отраслях, Storm-2755 применяла географический таргетинг, что делало потенциальными жертвами сотрудников самых разных компаний по всей Канаде. Ключевым элементом успеха атаки стало использование техники "злоумышленник посередине" (Adversary-in-the-Middle, AiTM), которая позволила перехватывать не только логины и пароли, но и полные сеансовые токены аутентификации.
Механизм атаки начинался с того, что злоумышленники продвигали в поисковых системах подконтрольный им домен bluegraintours[.]com по запросам вроде "Office 365" или их распространенным опечаткам. Пользователи, переходя по ссылке, попадали на фишинговую страницу, идеально имитирующую официальный интерфейс входа в Microsoft 365. Когда жертва вводила свои учетные данные, специальный фреймворк AiTM в реальном времени проксировал весь процесс аутентификации на настоящий сервер Microsoft, получая в ответ валидный сеансовый токен. Этот токен, представляющий собой уже аутентифицированную сессию, позволял злоумышленникам входить в системы компании, минуя повторный запрос пароля и даже стандартную MFA, что является фундаментальным недостатком нестойких к фишингу методов вроде SMS или push-уведомлений.
Для автоматического поддержания доступа Storm-2755 использовала HTTP-клиент Axios версии 1.7.9. Как сообщили специалисты из команды Microsoft Detection and Response Team (DART), данная версия содержит уязвимость CVE-2025-27152, приводящую к серверным подделкам запросов (SSRF). Злоумышленники эксплуатировали эту уязвимость для ретрансляции украденных токенов в инфраструктуру жертвы, устанавливая персистентность. Сеансы автоматически обновлялись примерно каждые 30 минут через неинтерактивные входы в приложение OfficeHome, что позволяло атакующим сохранять контроль над аккаунтом неделями, не привлекая внимания.
После закрепления в системе Storm-2755 приступала к этапу разведки. В рамках скомпрометированных сессий проводился поиск по внутренним ресурсам и почтовым ящикам с использованием ключевых слов: "payroll", "HR", "финансы", "админ". Целью было обнаружение сотрудников отдела кадров или бухгалтерии. Основной ударной тактикой стала социальная инженерия. От лица скомпрометированного сотрудника злоумышленники отправляли в HR-отдел письма с темой "Question about direct deposit" ("Вопрос о прямом депозите"), в которых задавали уточняющие вопросы о процедуре смены банковских реквизитов для начисления зарплаты. Если такой запрос не срабатывал, атака переходила в ручную фазу: используя украденную сессию, злоумышленники напрямую входили в SaaS-платформы для управления персоналом, такие как Workday, и самостоятельно меняли реквизиты.
Чтобы оставаться невидимыми для владельца аккаунта, Storm-2755 применяла изощренные методы уклонения от обнаружения. Перед началом рассылки писем в почтовом ящике жертвы создавалось правило, которое автоматически перемещало все входящие письма со словами "direct deposit" или "bank" в скрытую папку "Журнал бесед". Это гарантировало, что ответы от HR на мошеннические запросы никогда не будут увидены законным пользователем. Кроме того, активность по обновлению сессий была запланирована на ранние утренние часы (около 5:00 по местному времени), чтобы минимизировать риск пересечения с обычной работой сотрудника и последующего принудительного выхода из системы.
В одном подтвержденном случае эти действия привели к прямому финансовому ущербу. Злоумышленникам удалось, скомпрометировав сессию, войти в Workday, изменить банковские реквизиты и перенаправить одну зарплатную выплату на контролируемый ими счет. Microsoft предприняла меры по сдерживанию угрозы, включая отзыв скомпрометированных тенантов, и продолжает работу с пострадавшими клиентами, предоставляя информацию о тактиках, техниках и процедурах (TTPs) группировки.
Для защиты от подобных AiTM-кампаний эксперты рекомендуют переходить на стойкие к фишингу методы MFA, такие как FIDO2-ключи или беспарольный вход через Microsoft Authenticator. Критически важно использовать политики условного доступа (Conditional Access) для управления временем жизни сессий и принудительной повторной аутентификации. Непрерывная оценка доступа (Continuous Access Evaluation, CAE) позволяет в режиме, близком к реальному времени, отзывать токены при изменении уровня риска или сбросе учетных данных. Также необходимы мониторинг и создание оповещений о подозрительных правилах для почтового ящика, что является верным признаком компрометации деловой переписки (BEC). Регулярное обучение сотрудников и фишинговые симуляции остаются важной, но не единственной линией обороны в условиях, когда технические методы атак становятся все более изощренными и автоматизированными.
Индикаторы компрометации
URLs
- http://bluegraintours.com
User-agents
- axios/1.7.9
