กลุ่มอาชญากรรมไซเบอร์ Storm-2657 กำลังโจมตีพนักงานมหาวิทยาลัยในสหรัฐฯ เพื่อขโมยเงินเดือนผ่านการโจมตีแบบ Pirate Payroll ตั้งแต่เดือนมีนาคม 2025
นักวิเคราะห์จาก Microsoft Threat Intelligence พบว่า กลุ่มผู้โจมตีกำลังมุ่งเป้าโจมตีบัญชี Workday แต่อย่างไรก็ตามแพลตฟอร์มซอฟต์แวร์แบบ software-as-a-service (SaaS) ของฝ่ายทรัพยากรบุคคล (HR) ก็อาจตกเป็นเป้าหมายด้วยเช่นกัน โดยพบว่ามีบัญชีที่ถูกแฮ็กสำเร็จ 11 บัญชีจาก 3 มหาวิทยาลัย ซึ่งถูกใช้ในการส่งอีเมลฟิชชิ่งไปยังบัญชีอีเมลเกือบ 6,000 บัญชีใน 25 มหาวิทยาลัย
การโจมตีเหล่านี้ไม่ได้แสดงถึงช่องโหว่ในแพลตฟอร์ม หรือผลิตภัณฑ์ของ Workday แต่เป็นปฏิบัติการจากผู้โจมตีที่มีแรงจูงใจทางการเงิน ซึ่งใช้เทคนิค Social Engineering ที่ซับซ้อน และใช้ประโยชน์จากการไม่มีการใช้งานการยืนยันตัวตนแบบหลายปัจจัย (MFA) หรือการใช้ MFA ที่อาจไม่ได้ปลอดภัยเพียงพอสำหรับการโจมตีแบบฟิชชิ่ง
ผู้โจมตีใช้ธีมหลากหลายในการส่งอีเมลฟิชชิ่งที่ออกแบบมาเฉพาะสำหรับเป้าหมายแต่ละราย ตั้งแต่การเตือนเรื่องการระบาดของโรคในวิทยาเขต ไปจนถึงรายงานการกระทำผิดของคณาจารย์ เพื่อหลอกล่อให้ผู้รับคลิกลิงก์ฟิชชิ่ง
ตัวอย่างอื่น ๆ รวมถึงอีเมลที่ปลอมตัวเป็นอธิการบดีมหาวิทยาลัยเพื่อแชร์ข้อมูลเกี่ยวกับค่าตอบแทน และสวัสดิการ หรือเอกสารปลอมที่ถูกแชร์โดยฝ่ายทรัพยากรบุคคล (HR)
ในการโจมตีแบบ "payroll pirate" กลุ่ม Storm-2657 ได้ใช้กลวิธีฟิชชิ่งผ่านอีเมล โดยส่งลิงก์ในลักษณะ Adversary-In-The-Middle (AITM) เพื่อทำให้สามารถขโมยรหัส MFA ของเหยื่อ ทำให้พวกเขาสามารถเข้าถึงบัญชี Exchange Online ได้
เมื่อผู้โจมตีสามารถเข้าถึงบัญชีที่ถูกแฮ็กได้ ผู้โจมตีจะสร้าง Rules ใน inbox เพื่อลบอีเมลแจ้งเตือนจาก Workday ซึ่งช่วยปกปิดการเปลี่ยนแปลงต่าง ๆ ที่พวกเขากระทำ รวมถึงการปรับการตั้งค่าการชำระเงินเงินเดือน และการเปลี่ยนเส้นทางการชำระเงินไปยังบัญชีที่พวกเขาควบคุม โดยการเข้าถึงโปรไฟล์ Workday ของเหยื่อจะทำได้ผ่านการลงชื่อเข้าใช้แบบ Single Sign-On (SSO)
เมื่อผู้โจมตีเจาะบัญชีอีเมล และเปลี่ยนการตั้งค่าการชำระเงินใน Workday ได้สำเร็จ พวกเขาจะใช้บัญชีที่เข้าถึงได้นั้นเพื่อส่งอีเมลฟิชชิ่งเพิ่มเติม ทั้งภายในองค์กร และภายนอกไปยังมหาวิทยาลัยอื่น ๆ ตามที่ Microsoft ระบุ
ในบางกรณี ผู้โจมตียังได้ลงทะเบียนหมายเลขโทรศัพท์ของตนเองเป็นอุปกรณ์ยืนยันตัวตนแบบ MFA สำหรับบัญชีที่ถูกบุกรุก ไม่ว่าจะผ่านโปรไฟล์ Workday หรือการตั้งค่า Duo MFA เพื่อคงการเข้าถึงระบบ ทำให้พวกเขาสามารถหลีกเลี่ยงการตรวจจับโดยสามารถอนุมัติกิจกรรมที่เป็นอันตรายบนอุปกรณ์ของตนเอง
Microsoft ได้ระบุลูกค้าที่ได้รับผลกระทบ และได้ติดต่อบางรายเพื่อช่วยเหลือในการลดผลกระทบ จากรายงานในวันนี้ บริษัทได้แชร์แนวทางในการตรวจสอบการโจมตีเหล่านี้ และการนำ MFA ที่ปลอดภัยเพียงพอสำหรับการโจมตีแบบฟิชชิ่งมาใช้ เพื่อช่วยป้องกันการโจมตี และปกป้องบัญชีผู้ใช้
การโจมตีแบบ Payroll Pirate เป็นการฉ้อโกงทางอีเมลในลักษณะ BEC ที่พุ่งเป้าไปที่องค์กร และบุคคลที่ทำธุรกรรมทางการเงินเป็นประจำ
ในปี 2024 ศูนย์รับเรื่องร้องเรียนอาชญากรรมทางอินเทอร์เน็ต (IC3) ของ FBI รายงานว่ามีการฉ้อโกงในรูปแบบ BEC มากกว่า 21,000 เรื่อง สร้างความเสียหายกว่า 2.7 พันล้านดอลลาร์ ทำให้เป็นอาชญากรรมที่สร้างความเสียหายมากเป็นอันดับสอง รองจากการฉ้อโกงการลงทุน อย่างไรก็ตาม ตัวเลขเหล่านี้เป็นเพียงส่วนหนึ่งของความเสียหายที่แท้จริง เนื่องจากอ้างอิงจากกรณีที่เหยื่อได้รายงานโดยตรง หรือหน่วยงานบังคับใช้กฎหมายได้ค้นพบเท่านั้น
ที่มา : bleepingcomputer
You must be logged in to post a comment.