Microsoft обнаружила «зарплатных пиратов» — хакеров, которые взламывали HR-системы и подменяли банковские счета сотрудников своими
Фото: The Hacker News
Microsoft Threat Intelligence рассказала о расследовании деятельности «зарплатных пиратов» (payroll pirateы) — хакерской группировки Storm-2657. Её участники взламывали учётные записи в системах для управления персоналом, а затем меняли данные банковских счетов сотрудников для выплаты зарплат на подконтрольные хакерам.
Как отмечает корпорация, под атакой Storm-2657 оказался ряд американских организаций, включая несколько университетов. Хакеры сосредоточились на получении доступа к системам управления персоналом (в пример приводится платформа Workday), где в профилях сотрудников изменили настройки выплаты зарплаты, чтобы деньги поступали на подконтрольные хакерам счета.
Количество пострадавших от действий группы и ущерб не разглашаются.
Первоначальный доступ к учётным записям хакеры получили за счёт фишинговых писем. С марта 2025 Microsoft зафиксировала 11 успешно взломанных учётных записей в трёх университетах США, которые затем использовали для дальнейшей рассылки фишинговых писем почти на 6000 электронных адресов в 25 вузах.
Популярными темами таких писем были зарегистрированные вспышки инфекционных заболеваний (с призывом к получателю открыть документ в Google Docs, чтобы проверить, контактировал ли он с заболевшими), информация о ненадлежащем поведении преподавателей, официальная информация от ректора или данные о компенсациях и льготах. Письма адаптировались под каждое конкретное учебное заведение, чтобы пользователи ничего не заподозрили.
Пример одного из фишинговых писем, адресованных пострадавшим, с информацией о якобы вспышке инфекционного заболевания в кампусе
Microsoft Threat Intelligence
Когда учётная запись была скомпрометирована, хакеры задавали правила для сообщений от HR-сервисов, чтобы скрывать или удалять любые уведомления об изменении данных о банковских счетах, куда поступает зарплата. Вместо данных счета пользователей, хакеры вводили данные счетов, подконтрольных Storm-2657. Из-за изменений в настройках уведомлений пользователи даже не подозревали о том, что данные для выплаты их зарплаты изменились, а все их будущие выплаты будут уходить злоумышленникам.
Схема хакерской атаки Storm-2657
Microsoft Threat Intelligence
Как отмечает Microsoft, подобные атаки — скорее не уязвимость конкретных платформ, а сочетание отсутствия многофакторной аутентификации (MFA) у пользователей и сложных приемов социальной инженерии — методов манипулирования пользователями, чтобы получить доступ к конфиденциальной информации.