- Storm-2657ハッカーが大学のメールアカウントを攻撃し、フィッシングや給与支払いのリダイレクトを実行
- 攻撃者はMFA(多要素認証)の未導入を悪用し、AITM手法で人事SaaSプラットフォームにアクセス
- マイクロソフトは被害者を支援し、これはBEC型「給与海賊」キャンペーンだと警告
ハッカーは、人事SaaSプラットフォームのアカウントに全米の大学で侵入し、給与を自分たちの口座にリダイレクトしていると、マイクロソフトが警告しています。
同社のレポートによると、攻撃は2025年3月に始まり、Storm-2657と呼ばれる金銭目的のグループがソーシャルエンジニアリングと、多要素認証(MFA)が設定されていないことを利用し、3つの大学で11のメールアカウントに侵入しました。
これらのアカウントを使い、25の大学にわたり約6,000件のメールアカウントに対してフィッシングメールを送信しました。メールの内容は、キャンパスでの感染症発生の警告や、教職員の不正行為の報告など多岐にわたります。目的は、被害者にフィッシングリンクをクリックさせ、Adversary-in-the-Middle(AITM)攻撃を通じてExchange Onlineアカウントへアクセスすることでした。
給与海賊
このキャンペーンは「給与海賊」と呼ばれ、サイバー犯罪者の間で人気のある悪名高いビジネスメール詐欺(BEC)詐欺のバリエーションです。
侵入後、ハッカーはこのアクセス権を利用してWorkday(または他のサードパーティーの人事SaaSプラットフォーム)に入り、給与支払い設定を変更して自分たちの口座に支払いをリダイレクトしました。
また、これらのプラットフォームからの受信メールを削除する受信トレイルールも設定し、被害者が不審な変更に気付かないようにしました。
さらに攻撃を拡大しました。「メールアカウントの侵害とWorkdayでの給与変更の後、脅威アクターは新たにアクセスしたアカウントを利用して、組織内外の他大学にも追加のフィッシングメールを送信しました」とマイクロソフトは述べています。
マイクロソフトはレポートの中で、フィッシング攻撃に引っかかり支払いデータが侵害された人々を特定したと述べています。現在、彼らに連絡を取り、被害緩和を支援しています。また、潜在的な被害者が自分が侵害されたかどうか調査できるよう、ヒントやガイダンスも公開しています。
GoogleニュースでTechRadarをフォロー、 優先ソースとして追加して、専門家によるニュース、レビュー、意見をフィードで受け取りましょう。必ずフォローボタンをクリックしてください!
もちろん、TikTokでTechRadarをフォローして、ニュース、レビュー、開封動画などを動画でチェックし、WhatsAppでも定期的なアップデートを受け取れます。
