Пиратский Payroll: как Storm-2657 швартуется к зарплатам через HR SaaS

Вот и новая серия из рубрики «Кто взломал твою бухгалтерию». На этот раз на сцену выходит кибербанда под кодовым именем Storm-2657, которую Microsoft ласково окрестила Payroll Pirates — «пиратами зарплат». Эти ребята не стреляют пушками и не носят попугаев, зато с лёгкостью отжимают чужие зарплаты прямо с HR SaaS-платформ, вроде Workday. И делают это не через дыры в коде, а через дырки в внимательности.

Microsoft Threat Intelligence заметила, что цель у пиратов простая, как GET-запрос: украсть зарплату до того, как она дойдёт до настоящего владельца. Сценарий выглядит почти банально — но чертовски эффективно. Сначала рассылаются фишинговые письма в духе «Вас вызвали в HR по поводу нарушения этики» или «Уведомление о болезни сотрудника». Получатель, дрожащими руками, кликает на ссылку, попадает на поддельную страницу логина, где злоумышленники собирают не только логин и пароль, но и MFA-коды через adversary-in-the-middle фишинговую прокладку.

Дальше дело техники. С доступом к Exchange Online и Workday через SSO, пираты подменяют реквизиты для выплат в HR-профиле, перенастраивая зарплатные маршруты так, чтобы деньги утекали в их карманы. И это не метафора — просто добавляют свой банк вместо твоего, а ты узнаёшь об этом, когда твой счёт в конце месяца показывает ноль.

Фишка в том, что они не ломают сам Workday или другие HR SaaS. Ни одной «нулевки», ни одного «эксплойта» — чистый социальный инжиниринг и человеческая доверчивость. Microsoft подчёркивает: пока IT-отделы настраивают фаерволы и логируют трафик, пираты просто заходят с паролем, украденным у секретаря.

Как только пираты захватывают учётку, они делают себе уютненько:
— добавляют свои телефоны в список MFA-устройств;
— ставят фильтры в почте, чтобы спрятать уведомления от Workday;
— и через те же взломанные ящики начинают рассылать фишинг дальше, по университетам и компаниям.

Microsoft даже приводит статистику: с марта 2025-го эти ребята успели угнать 11 аккаунтов в трёх университетах, а с них разослали около 6 000 фишинговых писем в 25 разных вузов. Внезапно студенты начали получать письма «Обязательное уведомление о проступке на кампусе», после чего шли логиниться на фейковый портал и отдавали ключи от своих данных прямо пиратам.

Механика работы проста, но гениальна по своей циничности. Это не про «взломай банк» — это про «взломай бухгалтера». Им не нужны ботнеты, прокси-сети и 0-day’и — только немного креативности и неплохой фишинговый движок.

Microsoft на всякий случай напоминает, что любой SaaS, где крутятся HR- или платёжные данные, теперь под прицелом. Workday просто оказался первой жертвой. Любой сервис, где можно поменять банковский счёт, становится золотой жилой для таких схем.

Защита? Да всё по классике:
— включайте MFA без SMS, лучше FIDO2-ключи или приложения, где фишинг не пройдёт;
— проверяйте аккаунты на левые устройства и вредные правила в Outlook;
— и не кликайте на письма с темой «Вас уволили» в 3:00 ночи.

Storm-2657 доказали, что старый добрый фишинг всё ещё живее всех живых, просто теперь он ходит в SaaS-костюме и делает вид, что он часть корпоративного онбординга. Настоящие Payroll Pirates не режут код — они режут каналы выплат.

Так что, если вдруг тебе не пришла зарплата — не спеши ругать бухгалтерию. Возможно, она уже уплыла к пиратам под флагом Storm-2657, а твоя учётка теперь в их трофейном списке.

Добро пожаловать в эпоху, где твой банк в безопасности, а твоя зарплата — нет.

Берегите себя и свои нервы, господа.