Een cybercriminaliteitsgroep, getraceerd als Storm-2657, heeft zich sinds maart 2025 gericht op medewerkers van Amerikaanse universiteiten, waarbij ze gebruik maken van ‘payroll piraten’-aanvallen om accounts te compromitteren en salarisbetalingen te kapen via geavanceerde social engineering-tactieken die bedoeld zijn om beveiligingsmaatregelen te omzeilen. Microsoft Threat Intelligence-analisten die ontdekt Uit de campagne bleek dat de dreigingsactoren zich specifiek richten op Workday-accounts voor het omleiden van salarissen. De analisten merkten echter op dat de aanvalsmethoden niet exclusief zijn voor één platform, wat aangeeft dat andere software-as-a-service (SaaS)-systemen van derden ook kwetsbaar kunnen zijn voor soortgelijke infiltratietechnieken. De focus blijft liggen op platforms die gevoelige werknemersgegevens en financiële transacties verwerken. Volgens een rapport van Microsoft is de omvang van de operatie aanzienlijk geweest. “We hebben elf met succes gecompromitteerde accounts waargenomen op drie universiteiten die werden gebruikt om te verzenden phishing e-mails naar bijna 6.000 e-mailaccounts verspreid over 25 universiteiten”, aldus het bedrijf, waarin de wijdverbreide aard van de phishing-inspanningen wordt beschreven. Het rapport maakt expliciet duidelijk dat de succesvolle inbreuken niet het gevolg zijn van een softwarekwetsbaarheid binnen het Workday-platform zelf. In plaats daarvan hangt het succes van de aanvallers af van een combinatie van geavanceerde social engineering en beveiligingslekken bij de beoogde instellingen. Microsoft benadrukte dit punt en verklaarde: “Deze aanvallen vertegenwoordigen geen enkele kwetsbaarheid in het Workday-platform of de producten, maar eerder financieel gemotiveerde bedreigingsactoren die geavanceerde social engineering-tactieken gebruiken en profiteren van het volledige gebrek aan multifactor-authenticatie (MFA) of het ontbreken van phishing-resistente MFA om accounts te compromitteren.” Om de aanvallen uit te voeren, maakt Storm-2657 phishing-e-mails die op maat zijn gemaakt voor elk doelwit om de geloofwaardigheid en de kans op succes te vergroten. De thema’s van deze e-mails zijn gevarieerd en ontworpen om een onmiddellijke reactie van de ontvanger uit te lokken. Voorbeelden van deze misleidende communicatie zijn onder meer dringende waarschuwingen over uitbraken van ziektes op de campus, gevoelige rapporten over vermeend wangedrag van de faculteit en e-mails waarin de president van de universiteit wordt nagebootst. Anders Bij de lokmiddelen gaat het om berichten die zogenaamd afkomstig zijn van HR, het delen van informatie over de beloning en voordelen van werknemers of het linken naar vervalste HR-documenten waarvoor de inloggegevens van de gebruiker nodig zijn om toegang te krijgen. De technische methode voor het aanvankelijke compromis omvat het gebruik van adversary-in-the-middle (AITM)-links die zijn ingebed in de phishing-e-mails. Wanneer een slachtoffer op deze links klikt, wordt hij of zij doorgestuurd naar een valse inlogpagina die zijn inloggegevens onderschept alle multifactorauthenticatiecodes die ze invoeren. Door deze diefstal van MFA-codes kunnen de bedreigingsactoren ongeoorloofde toegang krijgen tot de Exchange Online-account van het slachtoffer, waardoor de eerste voet aan de grond wordt gelegd binnen het netwerk van de universiteit. Eenmaal in een gehackt e-mailaccount ondernemen de aanvallers onmiddellijk stappen om hun sporen uit te wissen en de financiële diefstal te vergemakkelijken. Ze configureren nieuwe inboxregels die zijn ontworpen om automatisch waarschuwings-e-mails te vinden en te verwijderen die vanuit Workday zijn verzonden. Dit actie voorkomt dat de legitieme gebruiker wordt gewaarschuwd voor daaropvolgende ongeautoriseerde wijzigingen die in zijn profiel worden aangebracht. Met deze verhulling gebruiken de aanvallers Single Sign-On (SSO) om vanuit het gehackte e-mailaccount rechtstreeks naar het Workday-profiel van het slachtoffer te gaan. Van daaruit wijzigen ze de configuraties van salarisbetalingen, waarbij toekomstige loonstortingen worden omgeleid naar financiële rekeningen onder hun controle. De gecompromitteerde accounts dienen ook als startpunt voor het uitbreiden van het aanval. “Na de inbreuk op e-mailaccounts en de loonwijzigingen in Workday heeft de bedreigingsacteur nieuwe accounts gebruikt om nog meer phishing-e-mails te verspreiden, zowel binnen de organisatie als extern naar andere universiteiten”, aldus Microsoft. Om toegang op lange termijn te behouden, hebben de aanvallers volharding opgebouwd door hun eigen telefoonnummers in te schrijven als MFA-apparaten voor de gecompromitteerde accounts. Dit gebeurde via de Workday-profielen of de bijbehorende Duo MFA instellingen, waardoor ze toekomstige kwaadaardige acties kunnen goedkeuren en detectie kunnen omzeilen, zelfs als wachtwoorden zijn gewijzigd. Als reactie op de campagne heeft Microsoft de getroffen klanten geïdentificeerd en contact opgenomen met sommigen om hulp te bieden bij de oplossing van de problemen. Het bedrijf heeft ook gedetailleerde richtlijnen vrijgegeven om organisaties te helpen deze aanvallen te onderzoeken en phishing-bestendige MFA te implementeren, een belangrijke verdediging om gebruikersaccounts tegen dit soort inbreuken te beschermen. Deze ‘payroll-piraat’-aanvallen worden geclassificeerd als een variant van BEC-fraude (Business Email Compromise), die zich in grote lijnen richt op bedrijven en individuen die regelmatig elektronische overboekingen verwerken.
