Microsoft обнаружила «зарплатных пиратов» — хакеров, которые взламывали HR-системы и подменяли банковские счета сотрудников своими

Microsoft Threat Intelligence рассказала о расследовании деятельности «зарплатных пиратов» (payroll pirate) — хакерской группировки Storm-2657. Ее участники взламывали учетные записи в системах для управления персоналом, а затем меняли данные банковских счетов сотрудников для выплаты зарплат на подконтрольные хакерам.

Как отмечает корпорация, под атакой Storm-2657 оказался ряд американских организаций, включая несколько университетов. Хакеры сосредоточились на получении доступа к системам управления персоналом (в пример приводится платформа Workday), где в профилях сотрудников изменили настройки выплаты зарплаты, чтобы деньги поступали на подконтрольные хакерам счета.

Количество пострадавших от действий группы и ущерб не разглашаются.

Первоначальный доступ к учетным записям хакеры получили за счет фишинговых писем. С марта 2025-го Microsoft зафиксировала 11 успешно взломанных учетных записей в трех университетах США, которые затем использовали для дальнейшей рассылки фишинговых писем почти на 6000 электронных адресов в 25 вузах.

Популярными темами таких писем были зарегистрированные вспышки инфекционных заболеваний (с призывом к получателю открыть документ в Google Docs, чтобы проверить, контактировал ли он с заболевшими), информация о ненадлежащем поведении преподавателей, официальная информация от ректора или данные о компенсациях и льготах. Письма адаптировались под каждое конкретное учебное заведение, чтобы пользователи ничего не заподозрили.

Когда учетная запись была скомпрометирована, хакеры задавали правила для сообщений от HR-сервисов, чтобы скрывать или удалять любые уведомления об изменении данных о банковских счетах, куда поступает зарплата. Вместо данных счета пользователей, хакеры вводили данные счетов, подконтрольных Storm-2657. Из-за изменений в настройках уведомлений пользователи даже не подозревали о том, что данные для выплаты их зарплаты изменились, а все их будущие выплаты будут уходить злоумышленникам.

Как отмечает Microsoft, подобные атаки — скорее не уязвимость конкретных платформ, а сочетание отсутствия многофакторной аутентификации (MFA) у пользователей и сложных приемов социальной инженерии — методов манипулирования пользователями, чтобы получить доступ к конфиденциальной информации.