Microsoft 威脅情報團隊發現一個名為 Storm-2657 的黑客組織正發動「薪金海盜」(Payroll Pirates) 攻擊,目的為劫持員工帳戶並篡改薪金支付資料,令款項轉入攻擊者控制的銀行帳戶。自 2025 年 3 月起,黑客組織已成功入侵 3 間大學的 11 個帳戶,並利用這些帳戶向 25 間大學的近 6,000 個電郵地址發送釣魚郵件。攻擊者主要針對美國高等教育機構的員工,透過精心設計的社交工程手法進入 Workday 等第三方人力資源 SaaS 平台。值得注意的是攻擊者並非利用軟件漏洞,而是透過釣魚技術及缺乏抗釣魚多因素認證保護的弱點來控制帳戶。
攻擊手法揭秘
Microsoft 在 2025 年上半年觀察到的攻擊活動中,攻擊者透過釣魚郵件取得初始存取權限。這些郵件經過精心設計,用以竊取員工的登入憑證及多因素認證代碼。黑客使用「中間人攻擊」(adversary-in-the-middle, AitM) 釣魚連結,實時攔截受害者輸入的認證資料及 MFA 代碼,從而成功登入 Exchange Online 帳戶,並透過單一登入 (SSO) 功能接管受害者的 Workday 個人檔案。
釣魚郵件的內容經過特別設計以增加可信度。最近發現的主題涉及冒充合法大學或相關機構的郵件。攻擊者會根據收件人所屬院校調整內容,例如看似來自大學校長的官方通訊、有關薪酬及福利的資訊,或人力資源部門分享的檔案。大多數情況下,郵件主旨會包含大學名稱或校長姓名,進一步提升郵件的合法性及對目標對象的吸引力。
另一個常見主題涉及校園疾病或疫情爆發的訊息,暗示收件人可能曾接觸患者。這些郵件包含 Google Docs 頁面的連結,然後重新導向至攻擊者控制的網域。在其中一宗個案中,攻擊者向單一機構的 500 名人士發送釣魚郵件,鼓勵目標檢查其疾病接觸狀況。約有 10% 收件人將該郵件舉報為可疑釣魚郵件,意味著有 90% 收件人並未察覺異常,突顯 Storm-2657 社交工程策略的有效性。
隱藏蹤跡與建立持久存取
攻擊者成功入侵員工帳戶後,會建立收件箱規則,自動刪除來自 Workday 的警告通知郵件,令攻擊者對人力資源檔案所作的變更不被察覺。Storm-2657 其後會悄悄修改員工的薪金支付配置,將未來的薪金付款重新導向至其控制的帳戶,對受害者造成財務損失。
攻擊者為確保持續存取受害者帳戶,會將自己的電話號碼註冊為受害者帳戶的多因素認證裝置。這些註冊可能透過 Workday 個人檔案設定或 Duo MFA 設定完成,消除了日後需要從受害者獲得進一步批准的需要。受害者帳戶被入侵後,攻擊者會利用這些電郵帳戶在機構內部及向其他大學發送更多釣魚郵件,擴大攻擊範圍。
Workday 審計日誌會將這些活動記錄為「變更我的帳戶」(Change My Account) 或「管理付款選項」(Manage Payment Elections) 事件,為調查人員提供未經授權修改的取證證據。Microsoft Defender for Cloud Apps 能夠關聯 Microsoft Exchange Online 及 Workday 等第三方 SaaS 應用程式的活動,協助偵測可疑的跨平台活動。
企業面臨的威脅與風險
雖然 Microsoft 觀察到的攻擊活動主要針對 Workday 個人檔案,但任何儲存人力資源或付款及銀行帳戶資料的 SaaS 系統都可能輕易成為同類技術的攻擊目標。這些攻擊不代表 Workday 平台或產品存在任何漏洞,而是財務驅動的威脅行為者使用精密的社交工程策略,利用機構完全缺乏多因素認證或缺乏抗釣魚多因素認證的弱點來入侵帳戶。
Workday 發言人表示,公司鼓勵客戶啟用抗釣魚的 MFA 方法,並為薪資等敏感變更增加額外驗證步驟,以抵禦此類威脅。Microsoft 已識別部分受影響客戶,並聯絡他們分享攻擊者的策略、技術及程序,協助緩解工作。
這類「薪金海盜」攻擊突顯高等教育界及任何使用第三方人力資源平台的機構面臨的關鍵漏洞。約有 10% 接收到一封釣魚郵件的收件人將其舉報為可疑,意味著 90% 並未舉報,顯示 Storm-2657 社交工程策略的有效性。攻擊者透過合法的認證機制並透過自動刪除郵件隱藏證據,建立了一個高效的金融詐騙方法,可以在較長時間內不被察覺,可能在被發現前轉移多次薪金付款。
防護措施與實施建議
Microsoft 強烈建議機構立即實施抗釣魚的 MFA 方法,包括 FIDO2 安全密鑰、Windows Hello for Business 或 Microsoft Authenticator 密鑰。傳統透過短訊或語音發送的 MFA 代碼仍可透過中間人攻擊被攔截。採用無密碼、抗釣魚的認證方法是緩解 Storm-2657 等威脅行為者風險的第一步。
FIDO2 安全密鑰是目前可用的最高級別認證安全裝置。這些小型 USB 或 NFC 裝置使用基於 FIDO2 規範的公開密鑰加密技術,為每個網站或應用程式建立獨特憑證。當使用者向服務註冊安全密鑰時,密鑰會生成獨特的密鑰對。公開密鑰儲存在服務的伺服器上,而私密密鑰則安全地儲存在硬件密鑰本身。即使攻擊者建立完美的登入頁面複製品或攔截網絡流量,沒有實際持有認證裝置,他們也無法完成認證過程。
除 FIDO2 安全密鑰外,密鑰 (passkeys) 可視為 FIDO2 技術的經濟實惠演進版本,因為它們將相同的加密安全性帶到數十億人已擁有的智能手機及電腦。密鑰本質上是儲存在現有裝置上的 FIDO 憑證,但從使用者角度來看,登入變得如解鎖手機般簡單。當使用者連接支援密鑰的網站時,無需輸入密碼,只需使用現有的指紋、人臉掃描或裝置 PIN 批准登入。無需記住新資料,無需輸入代碼,亦無需攜帶額外硬件。
IT 管理員應監察可疑的收件箱規則,特別是針對來自薪資系統的電郵的規則,審查最近新增的 MFA 裝置,並透過 Microsoft Defender for Cloud Apps 啟用全面日誌記錄,以關聯多個平台的可疑活動。對於員工而言,任何有關直接存款資料變更的意外通知都應立即聯絡人力資源及 IT 安全團隊,雖然攻擊者會特意刪除這些警告以保持隱密。
機構在實施抗釣魚 MFA 時應考慮幾個關鍵因素。首先評估現有基礎設施及使用者需求,選擇最合適的認證方法。科技熟練的團隊能快速適應任何方法,而技術較弱的員工可能偏好密鑰等簡單方法,其運作方式就像解鎖手機一樣。其次要考慮成本因素,硬件安全密鑰的成本為每位使用者 25 至 50 美元(約港幣 HK195至HK390),而密鑰則使用現有裝置,無需額外硬件投資。第三要確保方法符合合規要求,某些受監管行業的機構可能需要智能卡或特定 FIDO2 密鑰以符合合規要求。
調查與補救指引
機構應檢查帳戶是否出現可疑活動跡象,例如未知的 MFA 裝置及惡意收件箱規則。安全團隊應使用 Microsoft Defender for Cloud Apps 或類似工具監察跨平台活動,特別注意登入 Exchange Online 後不久即存取人力資源系統的情況。審查 Workday 審計日誌中與薪資配置變更相關的事件,留意任何未經授權的「管理付款選項」活動。
機構應檢查最近新增至使用者帳戶的 MFA 裝置註冊,特別是透過 Workday 個人檔案或 Duo 設定新增的裝置。搜尋針對來自薪資或人力資源系統的郵件的收件箱規則,因為這些規則可能用於隱藏警告通知。調查任何可疑的登入活動,特別是來自不尋常位置或在非正常工作時間的登入。
長遠而言,機構應建立全面的安全意識培訓計劃,協助員工識別釣魚郵件、可疑電話或登入請求。定期進行釣魚模擬測試,評估員工的警覺性並識別需要額外培訓的範疇。實施零信任架構原則,假設「永不信任,始終驗證」,每次登入嘗試,無論來自內部或外部,都必須根據身分、裝置、行為及實時風險進行驗證。
「薪金海盜」攻擊再次提醒,在網絡安全領域,員工是新的保安前線。黑客並非透過程式碼入侵 Workday,他們只是說服某人打開大門。只依賴技術防禦的機構忽略了這個人為因素。真正的韌性需要結合策略:員工意識、減少第三方風險,以及實施先進的 MFA 及零信任技術。機構必須認識到,保護員工薪資除了是人力資源問題,更是關鍵的網絡安全優先事項,需要 IT、人力資源及管理層的密切協作。
來源:Microsoft