文章总结： 攻击者Storm-2755通过恶意Microsoft365登录页面实施中间人攻击，窃取会话令牌绕过多因素认证，入侵加拿大员工账户后创建收件箱规则隐藏工资邮件，并冒充人力资源部门诱骗更新银行信息。微软建议部署防钓鱼MFA、阻断旧式认证协议，检测到入侵时立即撤销令牌并重置凭证。此类工资劫持属于商业邮件诈骗变种，去年在美国造成超30亿美元损失。 综合评分： 87 文章分类： 威胁情报,安全意识,应急响应,社会工程学,漏洞分析

微软：加拿大员工遭遇工资劫持攻击

Rhinoer Rhinoer

犀牛安全

2026年4月22日 00:00 北京

在小说阅读器读本章

去阅读

一个名为 Storm-2755 的、以经济利益为目的的攻击者，通过劫持加拿大员工的账户，发动工资重定向（也称为工资劫持）攻击，窃取加拿大员工的工资。

攻击者利用恶意 Microsoft 365 登录页面，通过将受害者的身份验证令牌和会话 cookie 重定向到托管恶意网页（通过恶意广告或 SEO 投毒推到搜索引擎结果顶部）的域（例如 bluegraintours[.]com）来窃取这些网页，这些恶意网页伪装成 Microsoft 365 登录表单。

这使得 Storm-2755 能够通过重放被盗的会话令牌而不是重新进行身份验证来绕过中间人攻击 (AiTM) 中的多因素身份验证 (MFA)。

微软解释说：“AiTM 框架不仅收集用户名和密码，还能实时代理整个身份验证流程，从而捕获成功身份验证后颁发的会话 cookie 和 OAuth 访问令牌。”

由于这些令牌代表完全经过身份验证的会话，攻击者可以重复使用它们来访问 Microsoft 服务，而无需输入凭据或进行 MFA 验证，从而有效地绕过并非旨在抵御网络钓鱼的传统 MFA 保护措施。

攻击者获取员工账户访问权限后，创建了收件箱规则，自动将人力资源部门发送的包含“直接存款”或“银行”字样的邮件移动到隐藏文件夹，从而阻止受害者查看这些邮件。

在下一阶段，他们搜索了“工资”、“人力资源”、“直接存款”和“财务”，然后向人力资源部门员工发送主题为“关于直接存款的问题”的电子邮件，诱骗员工更新银行信息。

在社交工程攻击失败后，攻击者直接登录到 Workday 等人力资源软件平台，利用窃取的会话手动更新直接存款详情。

为了加强对 AiTM 和工资盗用攻击的防御，微软建议防御者阻止旧式身份验证协议并实施防钓鱼的多因素身份验证 (MFA)。

如果检测到任何入侵迹象，他们还应立即撤销被入侵的令牌和会话，删除恶意收件箱规则，并重置所有受影响帐户的 MFA 方法和凭据。

10 月，微软挫败了另一起针对 2025 年 3 月以来 Workday 帐户的盗版工资活动。该活动由一个名为 Storm-2657 的网络犯罪团伙发起，该团伙以美国各地的大学员工为目标，劫持他们的工资支付。

在这些攻击中，Storm-2657 通过网络钓鱼电子邮件入侵目标帐户，并使用 AITM 策略窃取 MFA 代码，从而使威胁行为者能够入侵受害者的 Exchange Online 帐户。

工资劫持攻击是商业电子邮件诈骗(BEC)的一种变种，专门针对经常进行电汇的企业和个人。去年，美国联邦调查局 (FBI) 的互联网犯罪投诉中心 (IC3)记录了超过 24,000 起 BEC 诈骗投诉，造成的损失超过 30 亿美元，使其成为仅次于投资诈骗的第二大最赚钱的犯罪类型。

信息来源：BleepingComputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer Rhinoer《微软：加拿大员工遭遇工资劫持攻击》