Een bedreigingsacteur bekend als Storm-2657 Er is waargenomen dat werknemersaccounts werden gekaapt met als einddoel het omleiden van salarisbetalingen naar door de aanvaller gecontroleerde accounts.
“Storm-2657 richt zich actief op een reeks in de VS gevestigde organisaties, met name werknemers in sectoren als het hoger onderwijs, om toegang te krijgen tot human resources (HR) software as a service (SaaS)-platforms van derden, zoals Workday”, aldus het Microsoft Threat Intelligence-team in een rapport.
De technologiegigant waarschuwde echter dat elk software-as-a-service (SaaS)-platform dat HR- of betalings- en bankrekeninginformatie opslaat, een doelwit zou kunnen zijn van dergelijke financieel gemotiveerde campagnes. Sommige aspecten van de campagne, met de codenaam Payroll Pirates, werden eerder benadrukt door Silent Push, Malwarebytes en Hunt.io.
Wat de aanvallen opmerkelijk maakt, is dat ze geen misbruik maken van enig beveiligingslek in de diensten zelf. In plaats daarvan maken ze gebruik van social engineering-tactieken en een gebrek aan multi-factor authenticatie (MFA)-beschermingen om de controle over werknemersaccounts over te nemen en uiteindelijk betalingsinformatie te wijzigen om deze door te sturen naar accounts die worden beheerd door de bedreigingsactoren.
In een campagne die Microsoft in de eerste helft van 2025 heeft waargenomen, zou de aanvaller aanvankelijk toegang hebben verkregen via phishing-e-mails die zijn ontworpen om hun inloggegevens en MFA-codes te verzamelen met behulp van een phishing-link van Adversary-in-the-Middle (AitM), waardoor hij toegang krijgt tot hun Exchange Online-accounts en Workday-profielen overneemt via eenmalige aanmelding (SSO).
Er is ook waargenomen dat de bedreigingsactoren inboxregels creƫerden om inkomende e-mails met waarschuwingsmeldingen van Workday te verwijderen en zo de ongeoorloofde wijzigingen in profielen te verbergen. Dit omvat het wijzigen van de salarisbetalingsconfiguratie om toekomstige salarisbetalingen om te leiden naar rekeningen onder hun controle.
Om blijvende toegang tot de accounts te garanderen, registreren de aanvallers hun eigen telefoonnummers als MFA-apparaten voor slachtofferaccounts. Bovendien worden de gecompromitteerde e-mailaccounts gebruikt om verdere phishing-e-mails te verspreiden, zowel binnen de organisatie als naar andere universiteiten.
Microsoft zei dat het sinds maart 2025 elf met succes gehackte accounts op drie universiteiten heeft waargenomen die werden gebruikt om phishing-e-mails naar bijna 6.000 e-mailaccounts op 25 universiteiten te sturen. De e-mailberichten bevatten lokmiddelen die verband houden met ziektes of meldingen van wangedrag op de campus, waardoor een vals gevoel van urgentie ontstaat en de ontvangers worden verleid om op de neplinks te klikken.
Om het risico van Storm-2657 te beperken, wordt aanbevolen om wachtwoordloze, phishing-bestendige MFA-methoden te gebruiken, zoals FIDO2-beveiligingssleutels, en accounts te controleren op tekenen van verdachte activiteit, zoals onbekende MFA-apparaten en kwaadaardige inbox-regels.
