Alles rund um Windows

Microsoft warnt vor "Payroll Pirates", die HR-SaaS-Konten kapern, um Mitarbeitergehälter zu stehlen

Ein als Storm-2657 bekannter Angreifer wurde dabei beobachtet, wie er Mitarbeiterkonten kaperte, um Gehaltszahlungen auf von ihm kontrollierte Konten umzuleiten.

Storm-2657 greift aktiv eine Reihe von Organisationen mit Sitz in den USA an, insbesondere Mitarbeiter in Bereichen wie dem Hochschulwesen, um Zugang zu HR-Software-as-a-Service-Plattformen (SaaS) von Drittanbietern wie Workday zu erhalten.

Der Technologiekonzern warnte jedoch davor, dass jede Software-as-a-Service-Plattform (SaaS), auf der Personal- oder Zahlungs- und Bankkontodaten gespeichert sind, Ziel solcher finanziell motivierten Kampagnen werden könnte. Einige Aspekte der Kampagne mit dem Codenamen "Payroll Pirates" wurden zuvor von Silent Push, Malwarebytes und Hunt.io hervorgehoben.

Das Besondere an diesen Angriffen ist, dass sie keine Sicherheitslücken in den Diensten selbst ausnutzen. Vielmehr verwenden sie Social-Engineering-Taktiken und nutzen das Fehlen von Multi-Faktor-Authentifizierungsmaßnahmen (MFA) aus, um die Kontrolle über Mitarbeiterkonten zu erlangen und schließlich Zahlungsinformationen zu ändern, um sie auf Konten umzuleiten, die von den Angreifern verwaltet werden.

In einer von Microsoft in der ersten Hälfte des Jahres 2025 beobachteten Kampagne soll sich der Angreifer zunächst über Phishing-E-Mails Zugang verschafft haben, die darauf ausgelegt waren, Anmeldedaten und MFA-Codes mithilfe eines Adversary-in-the-Middle-Phishing-Links (AitM) zu sammeln, um so Zugriff auf die Exchange Online-Konten zu erhalten und Workday-Profile über Single Sign-On (SSO) zu übernehmen.

Es wurde auch beobachtet, dass die Angreifer Regeln für den Posteingang erstellt haben, um eingehende Warnbenachrichtigungen von Workday zu löschen und so die unbefugten Änderungen an den Profilen zu verbergen. Dazu gehört auch die Änderung der Gehaltszahlungskonfiguration, um zukünftige Gehaltszahlungen auf Konten unter ihrer Kontrolle umzuleiten.

Um sich dauerhaften Zugriff auf die Konten zu sichern, registrieren die Angreifer ihre eigenen Telefonnummern als MFA-Geräte für die Konten der Opfer. Darüber hinaus werden die kompromittierten E-Mail-Konten dazu verwendet, weitere Phishing-E-Mails sowohl innerhalb der Organisation als auch an andere Universitäten zu versenden.

Microsoft zufolge wurden seit März 2025 elf erfolgreich kompromittierte Konten an drei Universitäten beobachtet, die dazu verwendet wurden, Phishing-E-Mails an fast 6.000 E-Mail-Konten an 25 Universitäten zu versenden. Die E-Mail-Nachrichten enthalten Köder in Form von Krankheitsmeldungen oder Hinweisen auf Fehlverhalten auf dem Campus, die ein falsches Gefühl der Dringlichkeit hervorrufen und die Empfänger dazu verleiten, auf die gefälschten Links zu klicken.

Um das von Storm-2657 ausgehende Risiko zu mindern, wird empfohlen, passwortlose, phishing-resistente MFA-Methoden wie FIDO2-Sicherheitsschlüssel einzusetzen und Konten auf Anzeichen verdächtiger Aktivitäten zu überprüfen, wie z. B. unbekannte MFA-Geräte und missbräuchliche Regeln für den Posteingang.