Een criminele cyberbende, bekend als Storm-2657, richt zich sinds maart 2025 op Amerikaanse universiteitsmedewerkers om salarissen te kapen in zogeheten “piraten salaris” aanvallen.

Analisten van Microsoft Threat Intelligence ontdekten dat deze groep zich richt op Workday-accounts, maar dat ook andere HR-softwareplatformen van derden risico lopen.

“Bij drie universiteiten hebben we 11 gecompromitteerde accounts gezien die phishing-e-mails verstuurden naar bijna 6.000 adressen verspreid over 25 universiteiten,” meldde Microsoft donderdag.

“Deze aanvallen duiden niet op een kwetsbaarheid in Workday, maar tonen aan dat financieel gemotiveerde aanvallers geavanceerde social engineering-tactieken inzetten. Ze maken gebruik van het ontbreken van multi-factor authenticatie (MFA) om accounts te kapen.”

De aanvallers gebruiken meerdere thema’s in hun phising-e-mails, elk speciaal afgestemd op het doelwit. Van waarschuwingen over ziekte-uitbraken op de campus tot berichten over vermeend wangedrag van docenten, ontvangers worden verleid om op phishing-links te klikken.

Andere voorbeelden zijn e-mails die zich voordoen als afkomstig van de universiteitspresident over compensatie en voordelen, of nepdocumenten van HR.

In deze aanvallen compromitteert Storm-2657 accounts door phishing-e-mails met links waarmee ze MFA-codes stelen en toegang krijgen tot Exchange Online-accounts.

Eenmaal binnen in de accounts, stellen ze regels in om Workday-waarschuwingen te verwijderen, wat hen de mogelijkheid geeft om ongemerkt salarisbetalingen om te leiden naar rekeningen onder hun controle nadat ze toegang hebben verkregen tot de Workday-profielen via single sign-on (SSO).

“Na de inbraak in e-mailaccounts en aanpassingen in Workday-boekhoudingen, gebruiken de aanvallers de nieuw verkregen toegang om meer phishing-e-mails te versturen, zowel binnen de organisatie als naar andere universiteiten,” voegde Microsoft toe.

In sommige gevallen voegden de aanvallers hun eigen telefoonnummers toe als MFA-apparaten voor de gecompromitteerde accounts, om verdere kwaadwillige acties te autoriseren zonder gedetecteerd te worden.

Microsoft heeft getroffen klanten geïdentificeerd en hulp geboden bij het verminderen van de schade. In het rapport van vandaag deelde het bedrijf ook richtlijnen voor het onderzoeken van deze aanvallen en het implementeren van phishing-resistente MFA voor betere bescherming.

“Piraten salaris” aanvallen zoals deze zijn een variant van zakelijke e-mailcompromissen (BEC) die zich richten op bedrijven en individuen die regelmatig overboekingen doen.

In 2024 registreerde het FBI’s Internet Crime Complaint Center (IC3) meer dan 21.000 BEC-fraudegevallen, wat leidde tot verliezen van meer dan $2,7 miljard, de tweede meest winstgevende misdaad na investeringsfraude.

Deze cijfers zijn gebaseerd op bekende gevallen die direct door slachtoffers zijn gemeld of door de wetshandhaving zijn ontdekt, en vertegenwoordigen waarschijnlijk slechts een fractie van de werkelijke verliezen.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.