Storm-2755として追跡されている金銭目的の脅威アクターは、給与海賊攻撃でアカウントをハイジャックした後、カナダ人従業員の給与を盗んでいます。
攻撃者は、悪意あるMicrosoft 365サインインページを使用して、被害者を認証トークンとセッションクッキーを盗むドメイン(例:bluegraintours[.]com)にリダイレクトしました。これらのドメインは、悪質な広告またはSEO汚染により検索エンジン結果の上位に押し上げられた、Microsoft 365サインインフォームに偽装した悪意あるウェブページをホストしていました。
これにより、Storm-2755は再認証を行う代わりに盗まれたセッショントークンをリプレイすることで、中間者攻撃(AiTM)で多要素認証(MFA)をバイパスすることができました。
「AiTMフレームワークは、ユーザー名とパスワードだけを取得するのではなく、認証フロー全体をリアルタイムでプロキシし、認証成功時に発行されたセッションクッキーとOAuthアクセストークンのキャプチャを有効にします」と、マイクロソフトは説明しました。
「これらのトークンは完全に認証されたセッションを表すため、脅威アクターはそれらを再利用してMicrosoftサービスにアクセスでき、認証情報またはMFAを求められることなく、実質的にフィッシング耐性を持つように設計されていないレガシーMFA保護をバイパスできます。」
従業員のアカウントへのアクセスを取得した後、攻撃者は人事スタッフからのメッセージで「direct deposit」または「bank」という単語を含むメッセージを自動的に非表示フォルダに移動するインボックスルールを作成し、被害者が対応を見るのを防ぎました。
次の段階では、「payroll」「HR」「direct deposit」「finance」を検索し、人事スタッフに件名「Question about direct deposit」でメールを送信して、スタッフを騙して銀行情報を更新させました。
ソーシャルエンジニアリングが失敗した場合、攻撃者はWorkdayなどのHRソフトウェアプラットフォームに直接ログインし、盗まれたセッションを使用して直接預金の詳細を手動で更新しました。
AiTMおよび給与海賊攻撃に対する防御を強化するために、マイクロソフトは防御者にレガシー認証プロトコルをブロックし、フィッシング耐性のあるMFAを実装するよう勧告しています。
侵害の兆候が検出された場合、侵害されたトークンとセッションを直ちに失効させ、悪意あるインボックスルールを削除し、すべての影響を受けたアカウントのMFAメソッドと認証情報をリセットする必要があります。
10月には、マイクロソフトは2025年3月以降のWorkdayアカウントを対象とした別の海賊給与キャンペーンを破壊しました。この中で、Storm-2657として追跡されたサイバー犯罪団は米国全体の大学従業員を標的に、彼らの給与を横取りしようとしていました。
これらの攻撃では、Storm-2657はフィッシングメールを介してターゲットのアカウントに侵入し、AiTMタクティクスを使用してMFAコードを盗み、脅威アクターが被害者のExchange Onlineアカウントを侵害することを可能にしました。
給与海賊攻撃はビジネスメール侵害(BEC)詐欺の変種で、定期的に送金を行うビジネスと個人を標的にしています。昨年、FBIのインターネット犯罪苦情センター(IC3)は24,000件を超えるBEC詐欺の苦情を記録しました。これは30億ドルを超える損失をもたらし、投資詐欺に次ぐ2番目に儲かる犯罪タイプになりました。
