【安全资讯】微软披露：加拿大雇员薪资遭网络海盗攻击，攻击者利用中间人技术窃取会话令牌

概要：

近期，一种被称为“薪资海盗”的新型网络攻击正威胁着全球企业的财务安全。微软安全团队披露，一个追踪编号为Storm-2755的威胁组织正针对加拿大雇员发起此类攻击，旨在劫持其薪资支付。攻击者通过精心设计的中间人攻击，成功绕过多因素身份验证，直接窃取员工的薪资款项，凸显了传统安全措施在面对新型钓鱼攻击时的脆弱性。

主要内容：

Storm-2755攻击的核心在于利用中间人攻击框架。攻击者通过恶意广告或搜索引擎优化投毒，将仿冒的Microsoft 365登录页面推至搜索结果前列。当受害者访问这些页面时，其整个认证流程（包括用户名、密码及MFA交互）会被实时代理转发至真正的微软服务器，同时攻击者窃取到认证成功后颁发的会话Cookie和OAuth访问令牌。这些令牌代表了完整的认证会话，使得攻击者无需凭证或MFA即可直接访问微软服务，从而绕过了非防钓鱼设计的传统MFA保护。

成功入侵员工账户后，攻击者会创建收件箱规则，自动将人力资源部门发送的、包含“直接存款”或“银行”等关键词的邮件移至隐藏文件夹，使受害者无法察觉。随后，攻击者会搜索“薪资”、“人力资源”等关键词，并冒充员工向HR发送主题为“关于直接存款的问题”的钓鱼邮件，诱骗其更新银行账户信息。若社会工程学失败，攻击者则直接利用窃取的会话登录Workday等HR软件平台，手动修改直接存款信息。

微软建议企业为防范此类攻击，应阻止旧式身份验证协议，并部署具备防钓鱼能力的MFA。一旦检测到入侵迹象，需立即撤销受损令牌和会话、删除恶意收件箱规则，并为所有受影响账户重置MFA方法和凭证。此类“薪资海盗”攻击是商业邮件诈骗的变种，去年FBI记录的此类诈骗投诉超过2.4万起，造成损失超30亿美元，已成为仅次于投资诈骗的第二大高收益网络犯罪类型。