Microsoft Tehdit İstihbaratı, finansal motivasyona sahip saldırganların maaş ödemelerini saldırganların kontrolündeki banka hesaplarına yeniden yönlendirmek için çalışanların hesaplarını ele geçirdiği karmaşık “maaş bordrosu korsanlığı” saldırılarının artması üzerine alarm veriyor.
2025’in ilk yarısında Storm-2657, üniversite personeline karşı, kimlik bilgilerini ve çok faktörlü kimlik doğrulama (MFA) kodlarını toplayan yaygın bir kimlik avı kampanyası başlattı.
Saldırganlar, kampüsteki hastalık salgınları veya fakültedeki suiistimal iddiaları temalı gerçekçi e-postalar dağıttı; bu e-postalar, mağdurları ortadaki düşman (AITM) kimlik avı alanlarına yönlendiren Google Dokümanlar sayfalarına bağlantılar içeriyordu.
Storm-2657 olarak takip edilen bu tehdit aktörünün, maaş bordrosu yapılandırmalarını değiştirmek ve maaşları hortumlamak için Workday gibi üçüncü taraf insan kaynakları (İK) hizmet olarak yazılım (SaaS) platformlarından ödün vererek ABD merkezli kuruluşları, özellikle de yüksek öğrenim kurumlarını hedef aldığı gözlemlendi.
Üç üniversitedeki 11 çalışanın hesabı başarıyla ele geçirildi ve ardından 25 kuruma 6.000’den fazla kimlik avı e-postası göndermek için silah haline getirildi.
Çoğu durumda, kimlik avına karşı dayanıklı MFA’nın yokluğu, tehdit aktörlerinin tek seferlik kodları ele geçirmesine ve hesap korumalarını atlamasına olanak tanıyarak, daha güçlü kimlik doğrulama önlemlerine olan acil ihtiyacı ortaya koydu.
Hedeflenen Exchange Online hesaplarına girdikten sonra Storm-2657, profil değişikliği bildirimlerini silen gelen kutusu kuralları oluşturarak Workday’den gelen uyarı e-postalarını devre dışı bıraktı.
Bu görünmezlik pelerini, saldırganların kurbanları uyarmadan Workday profillerindeki maaş ödemesi seçimlerini değiştirmesine olanak tanıdı. Tehdit aktörü, banka hesabı ayrıntılarını değiştirerek sonraki maaş çeklerinin kötü niyetli olarak kontrol edilen hesaplara yatırılmasını sağladı.
Alıcıların yaklaşık %10’u e-postanın şüpheli bir kimlik avı girişimi olduğunu bildirdi.
Kalıcılığı sağlamlaştırmak için Storm-2657, kişisel telefon numaralarını Workday’in profil ayarları veya Duo MFA aracılığıyla MFA cihazları olarak kaydettirdi ve güvenliği ihlal edilmiş kullanıcılardan daha fazla onay alma ihtiyacını ortadan kaldırdı.
Azaltmalar
Microsoft, olaya müdahalede yardımcı olmak için ayrıntılı taktikleri, teknikleri ve prosedürleri (TTP’ler) paylaşarak etkilenen müşterilere proaktif bir şekilde ulaştı.
Tehdit aktörü, yalnızca özel karakterleri veya “…” gibi alfabetik olmayan sembolleri kullanarak kural adları oluşturarak radar altında kalmaya ve izlerini potansiyel incelemelerden gizlemeye çalışmış olabilir. veya “\’\’\’\'”.
Kuruluşların, FIDO2 güvenlik anahtarları, Windows Hello for Business veya Microsoft Authenticator aracılığıyla geçiş anahtarları gibi kimlik avına karşı dayanıklı MFA uygulayarak savunmalarını güçlendirmeleri tavsiye ediliyor.
Microsoft Entra ID’deki tüm ayrıcalıklı ve İK’ya yönelik roller için bu yöntemlerin uygulanması, hesap devralma risklerini önemli ölçüde azaltabilir.
Bulut Uygulamaları için Microsoft Defender, algılama amacıyla Exchange Online ve Workday’den gelen sinyalleri ilişkilendirerek şüpheli gelen kutusu kuralı oluşturma işlemlerini ve bordro yapılandırma değişikliklerini ortaya çıkarır.
Analistler, “Ödeme Seçimleri” veya “Doğrudan Para Yatırma” içeren e-postaların silinmelerinin yanı sıra “Hesabımı Değiştir” veya “Ödeme Seçimlerini Yönet” etiketli etkinlikleri denetleyebilirler. Defender XDR ve Microsoft Sentinel kullanıcıları, “.edu” etki alanlarından toplu kimlik avı gönderimlerini, riskli oturum açma işlemlerini ve anormal oturum açmalardan birkaç saat sonra meydana gelen yeni MFA cihaz kayıtlarını belirlemek için CloudAppEvents ve EmailEvents tablolarında önceden oluşturulmuş arama sorgularından yararlanabilir.
Güvenlik ihlali durumunda Microsoft, acil düzeltme adımları önerir: kimlik bilgilerini sıfırlama ve tüm oturumları iptal etme; yetkisiz gelen kutusu kurallarını kaldırın; şüpheli MFA cihazlarını gözden geçirip yeniden kaydedin veya kaldırın; ve İK sistemlerindeki maaş bordrosu veya banka hesabı değişikliklerini geri alın.
Kuruluşlar ayrıca Bulut Uygulamaları için Defender’da Workday bağlayıcıyı etkinleştirmeli ve bilinen kötü amaçlı etki alanlarının ve davranış kalıplarının izlenmesini otomatikleştirmek için Sentinel’de Tehdit İstihbaratı haritalama analitiğini dağıtmalıdır.
Siber suçlular maaş bordrosu hırsızlığına giderek daha fazla odaklanırken, Microsoft ile Workday arasındaki işbirliği, paylaşılan tehdit istihbaratının ve ortak hafifletme çabalarının önemini vurguluyor.
Parolasız, kimlik avına karşı dayanıklı kimlik doğrulamayı benimsemek ve gelişmiş algılama özelliklerinden yararlanmak, kullanıcı hesaplarını korumak ve çalışanların ücretlerini gelişen “maaş bordrosu korsan” planlarından korumak açısından kritik öneme sahip olmaya devam ediyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.