【安全资讯】微软披露Storm-2657黑客组织针对美国高校的薪资劫持攻击

概要：

近期微软威胁情报团队披露一起针对美国高校系统的定向网络攻击活动。自2025年3月起，代号Storm-2657的网络犯罪组织通过精心设计的钓鱼邮件，成功入侵多所大学教职工账户并篡改薪资支付配置，这种被称为“薪资海盗”的攻击手法已造成严重经济损失。

主要内容：

攻击者主要针对高校使用的Workday等人力资源SaaS平台，通过 adversary-in-the-middle (AITM) 钓鱼链接窃取多因素认证(MFA)代码。目前已确认3所大学的11个账户遭入侵，并向25所高校的近6000个邮箱发送钓鱼邮件。

攻击成功的关键在于目标账户普遍缺乏钓鱼防护型MFA机制。黑客利用校园疫情预警、教职工违纪报告等定制化主题诱骗点击，还通过冒充校长邮件、伪造人力资源文件等手段提升欺骗性。

入侵得手后，攻击者通过单点登录(SSO)进入Workday系统，设置收件箱规则删除预警邮件，同时篡改薪资支付路径。部分案例中还在Duo MFA设置中注册自有手机号以维持持久访问权限。

据微软分析，此类攻击属于商业邮件欺诈(BEC)变种。FBI数据显示2024年类似案件造成超27亿美元损失，实际影响可能更为严重。目前微软已向受影响机构提供调查指南和防护建议。