Microsoft Tehdit İstihbaratı, Storm-2657 olarak bilinen finansal motivasyona sahip karmaşık bir tehdit aktörünün, ABD üniversitelerini ve diğer kuruluşları hedef alan ayrıntılı “maaş bordrosu korsan” saldırıları düzenlediğini ortaya çıkardı.
Bu saldırılar, bilgisayar korsanlarının insan kaynakları sistemlerine yetkisiz erişim sağlamak ve maaş ödemelerini saldırganın kontrolündeki banka hesaplarına yönlendirmek için çalışanların hesaplarını ele geçirdiği siber suç taktiklerinde endişe verici bir evrimi temsil ediyor.
Kampanya, maksimum mali etkiyi elde etmek için sosyal mühendislik tekniklerinin teknik kullanımla birlikte artan karmaşıklığını ortaya koyuyor.
Tehdit aktörü, Workday gibi üçüncü taraf Hizmet Olarak Yazılım (SaaS) platformlarına erişimlerinden yararlanarak yüksek öğrenim sektörlerindeki çalışanları hedef alma konusunda özellikle aktif.
Mart 2025’ten bu yana Microsoft araştırmacıları, üç üniversitede güvenliği ihlal edilmiş 11 hesabın daha sonra 25 farklı eğitim kurumunda yaklaşık 6.000 e-posta hesabını hedef alan kimlik avı kampanyaları başlatmak için kullanıldığını gözlemledi.
Bu operasyonların ölçeği ve kesinliği, mali dolandırıcılığa karşı iyi kaynaklara sahip ve metodik bir yaklaşıma işaret etmektedir.
Saldırılar, ortadaki rakip (AITM) kimlik avı teknikleri aracılığıyla kimlik bilgilerini toplamak üzere tasarlanmış, dikkatle hazırlanmış kimlik avı e-postalarıyla başlar.
Bu e-postalar, “COVID Benzeri Vaka Bildirildi – İletişim Durumunuzu Kontrol Edin” ve “Doğrulanmış Bulaşıcı Hastalık Vakası” gibi konu satırlarına sahip sahte kampüs hastalığı salgınları da dahil olmak üzere birçok sosyal mühendislik temasından yararlanıyor.
.webp)
Saldırganlar ayrıca meşru üniversite iletişimlerini taklit ederek güvenilirliği artırmak ve mağdur katılım oranlarını artırmak için sıklıkla belirli üniversite rektörlerine veya İK departmanlarına atıfta bulunuyor.
Microsoft analistleri, Storm-2657’nin kuruluşların kimlik avına karşı dirençli çok faktörlü kimlik doğrulama eksikliğinden yararlanarak, Exchange Online hesaplarına ilk erişim elde etmek için çalınan MFA kodlarını ele geçirmelerine ve kullanmalarına olanak tanıdığını belirledi.
Tehdit aktörleri, tehlikeye atılan sistemlerin içine girdikten sonra olağanüstü bir dayanıklılık ve gizlilik yetenekleri sergiliyor.
Teknik Sızma ve Kalıcılık Mekanizmaları
Storm-2657’nin operasyonlarının teknik gelişmişliği, uzlaşma sonrası faaliyetlerinde açıkça ortaya çıkıyor.
Tehdit aktörleri, kurban hesaplarına erişim sağladıktan sonra, kendi telefon numaralarını ele geçirilen Workday profilleri veya Duo MFA ayarlarına MFA cihazları olarak kaydederek anında kalıcılık sağlıyor.
Bu teknik, kuruluşların sistemlerini koruduğuna inandığı güvenlik kontrollerini etkili bir şekilde atlayarak, meşru kullanıcılardan daha fazla MFA onayı gerektirmeden erişimin devam etmesini sağlar.
Saldırganlar daha sonra gelen bildirim e-postalarını Workday’in e-posta hizmetinden otomatik olarak silmek veya gizlemek için tasarlanmış karmaşık gelen kutusu kuralları oluşturur.
Bu kurallar genellikle yalnızca “…” gibi özel karakterler kullanılarak adlandırılır. veya sıradan güvenlik incelemeleri sırasında tespit edilmekten kaçınmak için “\’\’\’\’”.
Bu teknik, profil değişiklikleriyle ilgili standart bildirim e-postalarının hedeflenen alıcılara asla ulaşmaması nedeniyle mağdurların maaş bordrosu yapılandırmalarındaki yetkisiz değişikliklerden habersiz kalmasını sağlar.
Kalıcılık sağlandıktan sonra Storm-2657, Workday’e tek oturum açma (SSO) kimlik doğrulaması yoluyla erişir ve mağdurların maaş ödeme yapılandırmalarını düzenli olarak değiştirir.
Workday denetim günlükleri, bu etkinlikleri “Hesabımı Değiştir” veya “Ödeme Seçimlerini Yönet” olayları olarak kaydederek, yetkisiz değişikliklere ilişkin adli kanıt sağlar.
Bulut Uygulamaları için Microsoft Defender, bu etkinlikleri hem Microsoft Exchange Online hem de Workday gibi üçüncü taraf SaaS uygulamaları arasında ilişkilendirebilir ve platformlar arası şüpheli etkinliklerin kapsamlı bir şekilde algılanmasını sağlar.
Saldırı metodolojisi, mali etkiyi en üst düzeye çıkarırken tespit edilmeyi en aza indirecek dikkatli planlamayı gösterir.
Storm-2657, meşru kimlik doğrulama mekanizmalarından yararlanarak ve otomatik e-posta silme yoluyla kanıtları gizleyerek, uzun süreler boyunca fark edilmeden çalışabilen ve potansiyel olarak birden fazla maaş ödemesinin keşfedilmeden önce başka yöne yönlendirilmesine neden olabilecek finansal dolandırıcılığa karşı son derece etkili bir yaklaşım oluşturdu.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
