Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Nowa kampania phishingowa pokazuje, że przejęcie konta użytkownika nie musi kończyć się wyłącznie kradzieżą danych lub dostępem do poczty. W opisywanym scenariuszu cyberprzestępcy wykorzystują zatrute wyniki wyszukiwania i złośliwe reklamy podszywające się pod usługi Microsoft 365, aby przejmować sesje logowania, omijać tradycyjne mechanizmy uwierzytelniania wieloskładnikowego i finalnie przekierowywać wypłaty pracowników na rachunki kontrolowane przez atakujących.
To przykład kampanii, która łączy SEO poisoning, malvertising, phishing typu adversary-in-the-middle oraz nadużycie procesów HR i payroll. Tego rodzaju operacje są szczególnie niebezpieczne, ponieważ uderzają nie tylko w bezpieczeństwo tożsamości, ale również w integralność procesów biznesowych.
W skrócie
Kampania przypisywana grupie Storm-2755 była ukierunkowana na pracowników w Kanadzie. Atak rozpoczynał się od podstawionych wyników wyszukiwania dla fraz takich jak „Office 365” oraz ich literówek, po czym ofiara trafiała na fałszywą stronę logowania Microsoft 365.
- Przestępcy przechwytywali dane logowania oraz tokeny sesyjne.
- Dzięki temu uzyskiwali dostęp do skrzynki bez ponownego logowania.
- W części przypadków zmieniali hasło i ustawienia MFA, aby utrzymać dostęp.
- Celem było wyszukiwanie informacji związanych z kadrami i płacami.
- Końcowym etapem była próba zmiany numeru rachunku do wypłaty wynagrodzenia.
Jeśli socjotechnika wobec działu HR nie przynosiła rezultatu, atakujący przechodzili do ręcznej modyfikacji danych w systemach HR SaaS, takich jak Workday.
Kontekst / historia
Ataki typu adversary-in-the-middle stanowią rozwinięcie klasycznego phishingu. Zamiast ograniczać się do wyłudzenia loginu i hasła, napastnicy pośredniczą w całym procesie logowania w czasie rzeczywistym. Ofiara komunikuje się z infrastrukturą atakującego, a ta przekazuje ruch do prawdziwej usługi.
Jeżeli użytkownik poprawnie przejdzie uwierzytelnienie, również z użyciem słabszych metod MFA, przestępcy mogą przejąć wydany token sesyjny i odtworzyć sesję po swojej stronie. W tej kampanii szczególnie istotne było połączenie elementu technicznego z oszustwem procesowym. Zamiast natychmiastowej monetyzacji przez kradzież danych, operatorzy skupili się na przejęciu wypłat, co czyni taki model bardziej dyskretnym i trudniejszym do szybkiego wykrycia.
Analiza techniczna
Łańcuch ataku rozpoczynał się od SEO poisoning i malvertisingu. Użytkownicy wpisujący do wyszukiwarki ogólne frazy związane z Microsoft 365 byli kierowani na spreparowane strony logowania. Strony te wyglądały wiarygodnie, ale w rzeczywistości działały jako serwer pośredniczący pomiędzy ofiarą a prawdziwym systemem uwierzytelnienia.
Kluczowym elementem był mechanizm AiTM. Po wpisaniu poświadczeń i przejściu procesu logowania ofiara uzyskiwała pozornie normalny dostęp do usługi, natomiast atakujący przechwytywali tokeny uwierzytelniające i sesyjne. Taki model pozwalał obejść metody MFA nieodporne na phishing, ponieważ system uznawał przejęty token za dowód zakończonego procesu uwierzytelnienia.
Po przejęciu konta operatorzy przeszukiwali skrzynkę pocztową pod kątem słów kluczowych związanych z payroll, HR, finansami i administracją. Następnie z prawdziwego konta ofiary wysyłali wiadomości do działów kadr lub finansów z prośbą o zmianę danych do direct deposit, co znacząco zwiększało wiarygodność oszustwa.
W celu ukrycia działań tworzone były reguły skrzynki pocztowej przenoszące odpowiedzi zawierające frazy takie jak „bank” lub „direct deposit” do ukrytych folderów. Dzięki temu ofiara nie widziała korespondencji zwrotnej i nie mogła zareagować odpowiednio wcześnie. W części przypadków atakujący dodatkowo zmieniali hasło i konfigurację MFA, aby utrzymać dostęp także po wygaśnięciu skradzionego tokenu.
Jeśli manipulacja korespondencją nie przynosiła oczekiwanego efektu, przestępcy przechodzili do bezpośredniej obsługi systemów kadrowo-płacowych. W jednym z opisanych przypadków zalogowali się do Workday jako ofiara i zmodyfikowali dane bankowe, co doprowadziło do faktycznego przekierowania wynagrodzenia.
Konsekwencje / ryzyko
Najważniejszą konsekwencją tego typu ataku jest bezpośrednia strata finansowa po stronie pracownika, a pośrednio również organizacji. Incydent nie ogranicza się do kompromitacji konta Microsoft 365, lecz uderza w integralność procesów payroll i zaufanie do komunikacji wewnętrznej.
Ryzyko jest wysokie z kilku powodów. Kampania wykorzystuje codzienne zachowania użytkowników, takie jak wyszukiwanie strony logowania zamiast korzystania z zapisanych adresów lub firmowego portalu. Atak opiera się na legalnej tożsamości pracownika oraz autentycznej skrzynce pocztowej, przez co tradycyjne kontrole antyspoofingowe często nie wykrywają nadużycia.
- Ukrywanie odpowiedzi przez reguły skrzynki wydłuża czas do wykrycia.
- Klasyczne MFA okazuje się niewystarczające wobec AiTM.
- Atak łączy account takeover, business email compromise oraz fraud payroll.
- W proces reagowania muszą być zaangażowane nie tylko SOC i IAM, ale także HR oraz finanse.
Rekomendacje
Organizacje powinny wdrożyć phishing-resistant MFA, w szczególności FIDO2 lub WebAuthn. Mechanizmy te wiążą proces logowania z prawidłową domeną i znacząco utrudniają przechwycenie sesji przez serwer pośredniczący. Same kody OTP, powiadomienia push lub inne tradycyjne metody MFA nie zapewniają wystarczającej ochrony przed atakami AiTM.
W obszarze monitoringu warto objąć szczególnym nadzorem:
- nietypowe logowania po udanym MFA,
- nagłe zmiany user-agenta w obrębie tej samej sesji,
- powtarzające się logowania nieinteraktywne,
- nowe reguły skrzynki pocztowej filtrujące słowa związane z bankowością, płacami i HR,
- modyfikacje ustawień MFA, reset hasła oraz zmiany metod odzyskiwania konta,
- nietypowe logowania do systemów HR i payroll spoza standardowych lokalizacji lub godzin pracy.
Należy również wdrożyć proceduralne zabezpieczenia po stronie HR i finansów. Każda prośba o zmianę rachunku do wypłaty powinna być potwierdzana kanałem out-of-band, na przykład telefonicznie lub osobiście. Sam e-mail, nawet wysłany z prawdziwego konta pracownika, nie powinien stanowić wystarczającej podstawy do aktualizacji danych payroll.
Istotna pozostaje także edukacja użytkowników. Pracownicy powinni logować się do usług wyłącznie przez zapisane zakładki, firmowy portal lub oficjalne aplikacje, a nie przez wyniki wyszukiwania. Zespół bezpieczeństwa powinien regularnie ćwiczyć scenariusze obejmujące przejęcie sesji, ukryte reguły pocztowe i nadużycia w systemach SaaS.
W przypadku wykrycia incydentu działania naprawcze powinny obejmować jednocześnie:
- unieważnienie aktywnych sesji,
- reset haseł i ponowną rejestrację bezpiecznych metod MFA,
- przegląd reguł skrzynki i delegacji pocztowych,
- analizę działań w systemach HR oraz payroll,
- cofnięcie nieautoryzowanych zmian danych bankowych,
- weryfikację, czy z konta nie wysyłano wiadomości socjotechnicznych do innych działów.
Podsumowanie
Kampania Storm-2755 pokazuje, że nowoczesne ataki phishingowe coraz częściej koncentrują się na przejęciu procesów biznesowych, a nie wyłącznie samych kont. Zatrute wyniki wyszukiwania, fałszywe strony Microsoft 365 i technika AiTM pozwoliły przestępcom uzyskiwać dostęp do skrzynek pracowników, omijać słabsze formy MFA i przejmować kontrolę nad komunikacją z działami kadrowo-płacowymi.
Najważniejszą lekcją dla organizacji jest konieczność połączenia ochrony tożsamości z odpornymi na phishing metodami uwierzytelniania, monitoringiem anomalii w poczcie oraz formalnymi procedurami potwierdzania zmian danych payroll. Bez takiego podejścia nawet pojedyncze przejęte konto może przełożyć się na realną stratę finansową.