حقوق کارکنان دانشگاه‌های آمریکا در جیب هکرها

به گفته مایکروسافت، گروه هکری Storm-2657 در قالب کمپینی با عنوان Payroll Pirates، سازمان‌های آمریکایی به‌ویژه دانشگاه‌ها را هدف قرار داده و بدون نفوذ فنی، صرفاً با فریب کاربران، کنترل حساب‌های حقوقی آن‌ها را در دست می‌گیرد.

به گزارش افتانا، مایکروسافت از فعالیت یک گروه هکری با نامStorm-2657 خبر داده که با هدف نهایی انتقال حقوق کارمندان به حساب‌های بانکی تحت کنترل خود، اقدام به هک حساب‌های کاربری می‌کند.
بر اساس گزارش تیم اطلاعات تهدید مایکروسافت، این گروه به‌طور فعال سازمان‌های مختلف آمریکایی ـ به‌ویژه کارکنان بخش آموزش عالی ـ را هدف قرار داده و تلاش می‌کند از طریق دسترسی به پلتفرم‌های SaaS منابع انسانی مانند Workday، کنترل حساب‌ها را در دست بگیرد.

مایکروسافت هشدار داده است که هر پلتفرم SaaS‌ که اطلاعات پرداخت یا حساب‌های بانکی را ذخیره می‌کند، می‌تواند هدف این حملات مالی قرار گیرد. برخی جنبه‌های این کمپین که با اسم رمز Payroll Pirates (دزدان حقوق) شناخته می‌شود، پیش‌تر توسط شرکت‌های Silent Push، Malwarebytes و Hunt.io گزارش شده بود.

نکته قابل توجه این است که مهاجمان از هیچ ضعف امنیتی در نرم‌افزارها استفاده نمی‌کنند، بلکه با مهندسی اجتماعی و سوء‌استفاده از نبود احراز هویت چندمرحله‌ای (MFA)، کنترل حساب کارمندان را به دست می‌گیرند و سپس اطلاعات حساب بانکی برای دریافت حقوق را تغییر می‌دهند تا مبالغ به حساب‌های خودشان منتقل شود.

در یکی از کمپین‌های مشاهده‌شده در نیمه اول سال ۲۰۲۵، مهاجمان از طریق ایمیل‌های فیشینگ وارد عمل شدند. این ایمیل‌ها کاربران را به کلیک روی لینک‌های جعلی Adversary-in-the-Middle ترغیب می‌کرد تا نام کاربری، گذرواژه و حتی کدهای MFA آن‌ها را سرقت کنند. پس از آن، مهاجمان به حساب Exchange Online قربانی دسترسی یافته و با استفاده از ورود یکپارچه (SSO)، حساب‌های Workday را تصاحب می‌کردند.

برای پنهان کردن رد پای خود، آن‌ها قوانین خاصی در صندوق ورودی ایمیل قربانیان ایجاد می‌کردند تا هشدارهای Workday درباره تغییرات مشکوک حذف شوند. سپس پیکربندی پرداخت حقوق را تغییر می‌دادند تا وجوه به حساب‌های خودشان واریز شود.

به‌منظور حفظ دسترسی، مهاجمان شماره تلفن خود را به عنوان دستگاه MFA جدید به حساب قربانی اضافه می‌کردند. همچنین از همان حساب‌های ایمیل سرقت‌شده برای ارسال فیشینگ‌های جدید به سایر کارکنان یا دانشگاه‌ها استفاده می‌شد.

مایکروسافت اعلام کرد که از ماه مارس ۲۰۲۵ تاکنون، ۱۱ حساب کاربری در سه دانشگاه مختلف به طور موفقیت‌آمیز هک شده و از طریق آن‌ها حدود ۶۰۰۰ ایمیل فیشینگ به کارکنان ۲۵ دانشگاه دیگر ارسال شده است.
این ایمیل‌ها معمولاً با موضوعاتی مانند «بیماری»، «تخلف اداری» یا «هشدار فوری دانشگاه» طراحی شده‌اند تا حس اضطرار ایجاد کنند و کاربر را به کلیک روی لینک آلوده ترغیب کنند.

استفاده از روش‌های احراز هویت مقاوم در برابر فیشینگ مانند کلیدهای امنیتی FIDO2 به‌جای رمز عبور، بررسی دقیق حساب‌ها برای یافتن نشانه‌های فعالیت مشکوک (مثل دستگاه‌های MFA ناشناس یا قوانین ایمیل غیرعادی) و آموزش کاربران برای شناسایی ایمیل‌های فیشینگ و افزایش آگاهی امنیتی سازمانی ازجمله توصیه‌های امنیتی مایکروسافت برای کاهش خطر گرفتاری در دام این تهدید است.