Microsoft Tehdit İstihbaratı, Amerika Birleşik Devletleri’ndeki üniversitelere yönelik mali amaçlı bir dizi siber saldırıyı ortaya çıkardı. Storm-2657 olarak bilinen tehdit aktörü, uzmanların “maaş bordrosu korsanlığı” olarak adlandırdığı saldırıların bir parçası olarak, bir saldırganın bir çalışanın maaşını kendisi tarafından kontrol edilen bir banka hesabına yönlendirdiği bir planın parçası olarak zayıf kimlik doğrulamadan yararlanıyor.
Microsoft’a göre grup, üniversite çalışanlarının oturum açma bilgilerini ve çok faktörlü kimlik doğrulama (MFA) kodlarını çalarak hesaplarına erişiyor. Hesaba eriştikten sonra Workday gibi insan kaynakları (İK) sistemine erişebilecekler ve ardından ödemeleri yeniden yönlendirmek için bordro bilgilerini değiştirebilecekler.
Kampanya 2025 yılının ilk yarısı boyunca sürdü ve ağırlıklı olarak üniversitelere odaklandı; ancak bu, bulut İK veya bordro platformu kullanan tüm kuruluşlar için soruları gündeme getiriyor. Workday saldırıya uğrayan en yaygın çözümdü, ancak Microsoft, saldırıların Workday platformundaki gerçek bir güvenlik açığı değil, insan hatasından ve zayıf kimlik doğrulamasından yararlandığını açıkladı.
Microsoft, takip analizinde “Bu aktörler mali motivasyona sahip ve Workday’deki güvenlik açıklarına değil, sosyal mühendisliğe güveniyorlar” dedi. “Kimlik avına karşı dayanıklı MFA’ya sahip olmayan kuruluşlar risk altında olmaya devam ediyor.”
Kampüs Uyarıları Gibi Gösterilen Kimlik Avı Kampanyaları
Microsoft’un araştırması şunu ortaya çıkardı: Fırtına-2657 ilk erişim elde etmek için son derece ikna edici kimlik avı kampanyaları kullandı. Saldırganlar, resmi üniversite iletişimlerini taklit edecek şekilde tasarlanmış e-postalar hazırladı ve alıcıları kimlik bilgilerini ve MFA kodlarını ifşa etmeleri için kandırdı.
Mart 2025’ten bu yana Microsoft, üç üniversitede güvenliği ihlal edilmiş 11 hesap gözlemledi ve bunlar daha sonra diğer 25 kurumdaki yaklaşık 6.000 kişiye kimlik avı e-postaları göndermek için kullanıldı. Bazı mesajlar, bu tür araçların yaygın olarak kullanıldığı akademik ortamlarda tespit edilmesini zorlaştıran bir taktik olan Google Dokümanlar bağlantılarını içeriyordu.
Kimlik avı e-postaları birkaç yinelenen temayı takip ediyordu. İlk kampanyalarda aşağıdaki gibi endişe verici konu satırları vardı:
- “COVID Benzeri Vaka Bildirildi — İletişim Durumunuzu Kontrol Edin”
- “Doğrulanmış Bulaşıcı Hastalık Vakası”
- “Fakülte Uygunluk Bildirimi – Sınıfta Suistimal Raporu”
Bu mesajlar, alıcıları maruz kalma ayrıntılarını kontrol etme veya fakülte raporlarını inceleme kisvesi altında bağlantılara tıklamaya teşvik ediyordu. Bir kampanya tek bir üniversitedeki 500 çalışanı hedef aldı ancak yalnızca yüzde 10’u mesajı şüpheli olarak işaretledi.
Daha yeni saldırılarda ise Fırtına-2657 Üniversite yetkililerinin veya İK departmanlarının kimliğine bürünerek “ücret güncellemeleri” veya “fayda revizyonları” hakkında e-postalar gönderiyorlar. Hatta bazıları gerçek görünmek için üniversite rektörlerinin isimlerinden bile bahsetti. Kurban gömülü bağlantıya tıkladığında, saldırganların kimlik bilgilerini ve MFA tokenlerini topladığı sahte bir giriş sayfasına yönlendiriliyordu.
Workday Hesaplarının Ele Geçirilmesi ve Kanıtların Gizlenmesi
Saldırganlar erişim sağladıktan sonra hızla harekete geçti. Çalınan kimlik bilgilerini kullanarak kurbanların e-posta ve Workday hesaplarına giriş yaptılar ve Workday’deki bildirimleri otomatik olarak silmek için gelen kutusu kuralları oluşturdular. Bu, çalışanların maaş bordrolarında veya banka bilgilerinde yapılan değişikliklerle ilgili uyarıları görmemelerini sağladı.
Microsoft, bilgisayar korsanlarının daha sonra Workday içindeki “Ödeme Seçimi” ayarlarını değiştirerek banka hesap numaralarını kendi hesap numaralarıyla güncellediklerini tespit etti. Bu değişiklikler, gelecekteki maaş ödemelerinin sahte hesaplara yönlendirilmesine neden oldu; bu, maaş günleri gelene kadar fark edilmeyen bir taktikti.
Tehdit aktörleri, uzun vadeli erişimi sürdürmek için kendi telefon numaralarını da ele geçirilen profillere MFA cihazları olarak kaydetti. Bu onların gelecekteki kimlik doğrulama isteklerini atlamasına ve mağdurları uyarmadan sistemlere erişmeye devam etmelerine olanak sağladı.
Microsoft, “Saldırganlar kasıtlı ve metodikti” dedi. “Gelen kutusu kuralları ayarlayarak ve yeni MFA cihazlarını kaydettirerek izinsiz girişlerin izlerini etkili bir şekilde sildiler.”
Maaş Bordrosu Korsanları Teknolojiyi Değil Güveni İstismar Ediyor
“Maaş bordrosu korsanlığı” planı, küresel olarak büyük mali zarara yol açmaya devam eden bir taktik olan iş e-postasının ele geçirilmesinin (BEC) bir çeşididir. FBI’ın 2024 İnternet Suç Raporu’na göre, BEC programları yalnızca geçen yıl 2 milyar doların üzerinde zarara yol açtı.
Geleneksel fidye yazılımı saldırılarından farklı olarak BEC operasyonları, kötü amaçlı yazılım yerine aldatmaya ve sosyal mühendisliğe dayanır. Suçlular, meşru görünen e-postalar aracılığıyla çalışanları para veya kimlik bilgileri göndermeye yönlendiriyor.
Microsoft’un bulguları, genellikle açık iletişimi sınırlı siber güvenlik bütçeleriyle dengeleyen akademik kurumların, bu tür finansal odaklı operasyonlar için nasıl yumuşak hedefler haline geldiğini vurguluyor.
Microsoft’un Yanıtı ve Önerileri
Microsoft, etkilenen birkaç üniversiteyi bilgilendirdiğini ve ayrıntıları paylaştığını söyledi. Storm-2657’ler Kuruluşların savunmalarını güçlendirmelerine yardımcı olacak taktikler, teknikler ve prosedürler. Şirket ayrıca müşteriler için azaltım kılavuzu yayınlamak üzere Workday ile birlikte çalıştı.
Workday yaptığı açıklamada, güçlü kimlik doğrulama önlemlerinin etkinleştirilmesinin önemini vurguladı.
Bir Workday sözcüsü, “Müşterilerimizi kimlik avına karşı dayanıklı MFA kullanmaya ve bordro güncellemeleri gibi hassas işlemler için ekstra doğrulama adımları eklemeye teşvik ediyoruz” dedi.
Microsoft, kuruluşların FIDO2 güvenlik anahtarları, İş için Windows Hello veya Microsoft Authenticator geçiş anahtarları gibi parolasız kimlik doğrulama yöntemlerini benimsemesini önerir. Bu önlemler kimlik bilgileri hırsızlığı riskini önemli ölçüde azaltabilir.
Güvenlik ekiplerinin ayrıca maaş bordrosu veya gelen kutusu kurallarındaki, özellikle de İK sistemlerinden mesajların silinmesini içeren olağandışı değişiklikleri izlemeleri isteniyor. Herhangi bir şüpheli etkinlik tespit edilirse, etkilenen hesapların kimlik bilgileri derhal sıfırlanmalı, yetkisiz MFA cihazları kaldırılmalı ve bordro yapılandırmaları geri yüklenmelidir.