**Storm-2755** führt Payroll-Piraten-Angriffe durch, indem es Gehaltszahlungen kanadischer Mitarbeiter stiehlt, nachdem es unbefugten Zugriff auf deren Konten erlangt hat. ### AiTM-Angriffsmethodik Die Angreifer setzen bösartige **Microsoft 365**-Anmeldeseiten ein, um die Authentifizierungs-Tokens und Sitzungs-Cookies der Opfer zu stehlen. Dies geschieht durch die Umleitung von Benutzern auf Domains wie `bluegraintours[.]com`, die bösartige Webseiten hosten, die sich als legitime **Microsoft 365**-Anmeldeformulare ausgeben. Diese bösartigen Seiten werden oft durch Malvertising oder SEO-Poisoning-Techniken an die Spitze der Suchmaschinenergebnisse gebracht. Diese Taktik ermöglicht es **Storm-2755**, die Multi-Faktor-Authentifizierung (MFA) durch Adversary-in-the-Middle (AiTM)-Angriffe zu umgehen. Anstatt sich erneut zu authentifizieren, spielen die Angreifer gestohlene Sitzungs-Tokens ab. >"Anstatt nur Benutzernamen und Passwörter zu sammeln, leiten AiTM-Frameworks den gesamten Authentifizierungsfluss in Echtzeit weiter, was die Erfassung von Sitzungs-Cookies und OAuth-Zugriffstokens ermöglicht, die nach erfolgreicher Authentifizierung ausgestellt werden", erklärte **Microsoft**. >"Aufgrund dieser Tokens, die eine vollständig authentifizierte Sitzung darstellen, können Bedrohungsakteure sie wiederverwenden, um auf Microsoft-Dienste zuzugreifen, ohne zur Eingabe von Anmeldeinformationen oder MFA aufgefordert zu werden, wodurch ältere MFA-Schutzmaßnahmen, die nicht phishing-resistent konzipiert sind, effektiv umgangen werden."  *Storm-2755-Angriffsfluss (Microsoft)* ### Taktiken nach der Kompromittierung von Konten Sobald ein Konto kompromittiert ist, erstellen die Angreifer Posteingangsregeln, um Nachrichten von Mitarbeitern der Personalabteilung, die Schlüsselwörter wie "Direktüberweisung" oder "Bank" enthalten, automatisch in versteckte Ordner zu verschieben. Dies verhindert, dass die Opfer die betrügerischen Aktivitäten bemerken. Als Nächstes suchen sie nach Begriffen wie "Gehaltsabrechnung", "HR", "Direktüberweisung" und "Finanzen" und senden E-Mails an Mitarbeiter der Personalabteilung mit Betreffzeilen wie "Frage zur Direktüberweisung", um sie dazu zu bringen, Bankinformationen zu aktualisieren. Wenn Social Engineering fehlschlägt, melden sich die Angreifer direkt bei HR-Softwareplattformen wie **Workday** an und nutzen die gestohlene Sitzung, um die Direktüberweisungsdetails manuell zu aktualisieren.  *Storm-2755 sendet E-Mails an HR-Mitarbeiter (Microsoft)* ### Abhilfestrategien Um sich gegen AiTM- und Payroll-Piraten-Angriffe zu verteidigen, empfiehlt **Microsoft**: * Blockieren von Legacy-Authentifizierungsprotokollen. * Implementierung von phishing-resistenten MFA. * Sofortiges Widerrufen kompromittierter Tokens und Sitzungen nach Erkennung. * Entfernen bösartiger Posteingangsregeln. * Zurücksetzen von MFA-Methoden und Anmeldeinformationen für alle betroffenen Konten. ### Frühere Payroll-Angriffe Im Oktober hat **Microsoft** eine ähnliche Payroll-Kampagne gestört, die seit März 2025 auf **Workday**-Konten abzielte. Diese Kampagne, durchgeführt von **Storm-2657**, richtete sich gegen Universitätsmitarbeiter in den Vereinigten Staaten und kapert Gehaltszahlungen mithilfe von Phishing-E-Mails und AiTM-Taktiken, um MFA-Codes zu stehlen und Exchange Online-Konten zu kompromittieren. Payroll-Piraten-Angriffe sind eine Form von Business Email Compromise (BEC)-Betrug. Das FBI's Internet Crime Complaint Center (IC3) meldete im letzten Jahr über 24.000 BEC-Betrugsfälle, die zu Verlusten von über 3 Milliarden US-Dollar führten.