A támadók kanadai alkalmazottakat céloznak „payroll pirate” típusú támadások során

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe

A Storm-2755 néven azonosított pénzügyi motivációjú kiberbűnözői csoport kanadai munkavállalók fizetéseit veszi célba. A támadások az úgynevezett „payroll pirate” módszerre épülnek, amely során a támadók vállalati fiókok kompromittálása után a munkabér utalási adatait manipulálva eltérítik a kifizetéseket.

A támadási lánc (1. ábra) első szakaszában a támadók rosszindulatú Microsoft 365 bejelentkezési oldalakat használtak, amelyek SEO poisoning és malvertising technikák segítségével kerültek a keresőtalálatok élére. A felhasználókat ezekre az oldalakra irányítva szerezték meg a hitelesítési adatokat, valamint munkamenet-cookie-kat és tokeneket. Az így megszerzett információk lehetővé tették az adversary-in-the-middle (AiTM) támadási módszer alkalmazását, amellyel a többfaktoros hitelesítés (MFA) is megkerülhető.

A Microsoft szerint az AiTM keretrendszerek valós időben proxyzzák a teljes hitelesítési folyamatot, így a sikeres bejelentkezést követően megszerezhetők a munkamenet-cookie-k és az OAuth-hozzáférési tokenek. Ez lehetővé teszi, hogy a támadók anélkül férjenek hozzá Microsoft szolgáltatásokhoz, hogy ismételten meg kellene adniuk a hitelesítő adatokat vagy az MFA-kódokat, ezzel megkerülve a hagyományos védelmi mechanizmusokat.

A fiókok kompromittálása után a támadók automatikus levelezési szabályokat hoztak létre, amelyek elrejtették a HR osztálytól érkező, „direct deposit” vagy „bank” kifejezéseket tartalmazó üzeneteket. Ezzel párhuzamosan célzott kereséseket végeztek a levelezésben, majd megtévesztő e-mailek segítségével rávették a HR-munkatársakat a bankszámlaadatok módosítására (2. ábra). ​Amikor a social engineering módszer önmagában nem bizonyult elegendőnek, a támadók közvetlenül is bejelentkeztek a HR-platformokra, például a Workday rendszerbe, ahol a korábban megszerzett munkamenetekkel módosították a bérkifizetési adatokat.

A Microsoft a kockázatok csökkentése érdekében javasolja:

  • az elavult hitelesítési protokollok letiltását, valamint
  • adathalászat-ellenálló többfaktoros hitelesítési megoldások bevezetését.

Kompromittálás gyanúja esetén kiemelten fontos:

  • a munkamenetek és tokenek azonnali visszavonása,
  • a rosszindulatú levelezési-szabályok eltávolítása, valamint
  • az MFA-beállítások visszaállítása az érintett fiókoknál.

A „payroll pirate” típusú támadások a Business Email Compromise (BEC) csalások egy speciális típusa, melyekkel a kiberbűnözők világszerte jelentős pénzügyi károkat okoznak.