Storm-2657 olarak takip edilen bir siber suç çetesi, Mart 2025’ten bu yana “korsan maaş bordrosu” saldırılarıyla maaş ödemelerini kaçırmak için ABD’deki üniversite çalışanlarını hedef alıyor.
Bu kampanyayı tespit eden Microsoft Tehdit İstihbaratı analistleri, tehdit aktörlerinin Workday hesaplarını hedef aldığını tespit etti; ancak diğer üçüncü taraf insan kaynakları (İK) hizmet olarak yazılım (SaaS) platformları da risk altında olabilir.
Microsoft Perşembe günkü raporunda, “Üç üniversitede, 25 üniversitedeki yaklaşık 6.000 e-posta hesabına kimlik avı e-postası göndermek için kullanılan 11 hesabın başarıyla ele geçirildiğini gözlemledik” dedi.
“Bu saldırılar, Workday platformunda veya ürünlerinde herhangi bir güvenlik açığını temsil etmiyor; bunun yerine, karmaşık sosyal mühendislik taktikleri kullanan ve hesapları tehlikeye atmak için çok faktörlü kimlik doğrulamanın (MFA) tamamen yokluğundan veya kimlik avına karşı dayanıklı MFA’nın bulunmamasından yararlanan, finansal motivasyona sahip tehdit aktörlerini temsil ediyor.”
Saldırganlar, kimlik avı e-postalarında her hedef için özel olarak tasarlanmış, kampüsteki hastalık salgınlarına ilişkin uyarılardan öğretim üyelerinin suiistimal raporlarına ve alıcıları kimlik avı bağlantılarına tıklamaları için kandırmaya kadar çeşitli temalar kullanıyor.
Diğer örnekler arasında üniversite rektörünün kimliğine bürünen e-postalar, tazminat ve sosyal haklarla ilgili bilgilerin paylaşılması veya İK tarafından paylaşılan sahte belgeler yer alıyor.
Bu saldırılarda Storm-2657, MFA kodlarını çalmak için ortadaki rakip (AITM) bağlantılarını kullanan kimlik avı e-postaları aracılığıyla kurbanların hesaplarının güvenliğini ihlal etti ve tehdit aktörlerinin Exchange Online hesaplarına erişmesine olanak sağladı.
İhlal edilen hesaplara girdikten sonra, Workday uyarı bildirim e-postalarını silmek için gelen kutusu kuralları oluşturarak maaş ödeme yapılandırmalarını değiştirmek ve kurbanların Workday profillerine tek oturum açma (SSO) aracılığıyla eriştikten sonra ödemeleri kendi kontrolleri altındaki hesaplara yönlendirmek de dahil olmak üzere diğer değişiklikleri gizlemelerine olanak tanıyorlar.
Microsoft, “Workday’deki e-posta hesaplarının ele geçirilmesinin ve bordro değişikliklerinin ardından, tehdit aktörü yeni erişilen hesaplardan yararlanarak hem kuruluş içinde hem de dışarıdan diğer üniversitelere daha fazla kimlik avı e-postası dağıttı” diye ekledi.
Bazı durumlarda tehdit aktörleri, kalıcılığı sağlamak için Workday profilleri veya Duo MFA ayarları aracılığıyla ele geçirilen hesaplar için kendi telefon numaralarını MFA cihazları olarak kaydettirdiler. Bu, kendi cihazlarında daha fazla kötü amaçlı eylemi onaylayarak tespit edilmekten kurtulmalarına olanak tanıdı.
Microsoft, etkilenen müşterileri belirledi ve hafifletme çabalarına yardımcı olmak için bazılarıyla iletişime geçti. Bugünkü raporda şirket, bu saldırıların araştırılmasına ve bunların engellenmesine ve kullanıcı hesaplarının korunmasına yardımcı olmak için kimlik avına karşı dayanıklı MFA’nın uygulanmasına yönelik yönergeleri de paylaştı.
Bunlar gibi “maaş bordrosu korsanlığı” saldırıları, düzenli olarak banka havalesi ödemeleri yapan işletmeleri ve bireyleri hedef alan iş e-postası ihlali (BEC) dolandırıcılığının bir çeşididir.
2024 yılında, FBI’ın İnternet Suçları Şikayet Merkezi (IC3) 21.000’den fazla BEC dolandırıcılık şikayeti kaydetti ve bunun sonucunda 2,7 milyar doların üzerinde kayıp yaşandı ve bu, yatırım dolandırıcılıklarının ardındaki en kazançlı ikinci suç türü oldu.
Ancak bu rakamlar, doğrudan mağdurlar tarafından bildirilen veya kolluk kuvvetleri tarafından keşfedilen bilinen vakalara dayanmaktadır ve bu nedenle muhtemelen gerçek kayıpların yalnızca bir kısmını temsil etmektedir.
Katılın İhlal ve Saldırı Simülasyon Zirvesi ve deneyimleyin güvenlik doğrulamanın geleceği. En iyi uzmanlardan bilgi alın ve nasıl olduğunu görün Yapay zeka destekli BAS ihlal ve saldırı simülasyonunu dönüştürüyor.
Güvenlik stratejinizin geleceğini şekillendirecek etkinliği kaçırmayın