文章总结: 微软安全响应中心预警金融攻击组织Storm-2755在加拿大发动薪资海盗攻击,通过中间人会话劫持绕过MFA,篡改员工工资卡信息转移资金。攻击链包括搜索投毒、AitM劫持、潜伏篡改薪资账户等环节,建议个人使用官方入口登录并升级防钓鱼MFA,企业需启用防钓鱼MFA、监控异常登录、审计邮箱规则和薪资系统权限。 综合评分: 85 文章分类: 恶意软件,威胁情报,解决方案,安全意识,应急响应
紧急预警|工资直接被转走!Storm755“薪资海盗”席卷加拿大,MFA被轻松绕过!
原创
AI紫队安全研究 AI紫队安全研究
AI紫队安全研究
2026年4月20日 11:59 广东
在小说阅读器读本章
去阅读
大家好,我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“AI紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。
关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。
你的工资,正在成为黑客的新目标。
2026年4月9日,微软安全响应中心(DART)发布重磅调查:新型金融攻击组织Storm‑2755 正在加拿大发动大规模薪资海盗(Payroll Pirate) 攻击,通过中间人会话劫持,直接篡改员工工资卡信息,把薪水转到黑客账户,造成真实资金损失。
更可怕的是:你开了MFA也没用。
一、谁在搞事?专抢工资的“网络海盗”
Storm‑2755是纯金融牟利型攻击组织,和以往定向攻击不同,它不挑行业、不挑公司,只按地理范围锁定加拿大员工,广撒网、快得手、难察觉。
目标:企业员工、HR、财务人员
目的:入侵账号→篡改工资卡→领走你的薪水
手段:AiTM中间人攻击+绕过MFA+伪装登录页
这已经不是简单的钓鱼邮件,而是一套从账号到钱包的完整黑产链路。
二、完整攻击链:4步偷走你的工资
- 毒搜索+恶意广告,把假登录页送到你眼前
黑客通过SEO 投毒、恶意广告,把仿冒Microsoft 365登录页顶到搜索前排。
你搜“Office 365”“Office 265”这类常见词,点进去就是陷阱页面。
- AiTM中间人劫持:你的MFA形同虚设
这是最恐怖的一环:
黑客在你和微软之间架起代理网关,完整代理你的登录流程。
你输账号、点MFA验证的同时,黑客实时窃取会话令牌与Cookie,直接拿到已认证的有效会话,完全绕过传统MFA。
登录日志会出现典型异常:
多次失败登录 → 出现特定中断错误 → 瞬间登录成功
用户代理异常变化,但会话ID保持不变——令牌被重放了。
- 长期潜伏:偷偷维持会话,不被发现
黑客每30分钟刷新一次令牌,保持账号在线,伪装成正常用户行为。
凌晨时段悄悄操作,大幅降低被发现概率。
- 动手抢钱:改工资卡、屏蔽邮件
搜索邮箱与内网关键词:payroll、HR、finance、account、bank
伪装你给HR发邮件:申请修改工资直接存款账户
设置邮箱规则:自动隐藏含“银行”“直接存款”的邮件,让你收不到HR提醒
登录Workday等薪资系统,直接改银行卡号
坐等工资到黑客账户
三、为什么普通安全防不住?
- 传统MFA已失效
AiTM攻击能实时代理验证流程,短信、邮箱验证码、普通推送验证全可被绕过。
- 行为极度仿真
用你的合法会话、正常IP段、正常业务操作,防火墙、网关几乎不告警。
- 覆盖全行业
不挑企业、不挑部门,只要用Microsoft 365、有薪资系统就能下手,防不胜防。
四、企业&个人必做防御清单(立刻执行)
🔒 员工个人必做
绝不点搜索结果里来路不明的Office/Microsoft登录页
只从官网、官方App入口登录365/企业账号
发现邮箱莫名少邮件、HR没回复、工资延迟,立即上报IT
开启无密码、防钓鱼型MFA(如FIDO2安全密钥)
🖥️ 企业安全必做
全面启用防钓鱼MFA,淘汰短信/邮箱验证码
开启持续访问评估(CAE),异常立刻吊销令牌
监控异常登录行为:陌生用户代理、非工作时间高频登录
审计邮箱规则:自动屏蔽“银行”“薪资”“存款”相关邮件
强化Workday等薪资系统权限与操作审计,改银行卡必须二次核验
用条件访问策略限制会话时长,强制定期重新验证
五、写在最后
Storm‑2755的“薪资海盗”攻击,标志着黑产已经从“偷账号”进化到直接抢钱的阶段。
传统MFA、普通杀毒、邮件网关,在AiTM面前已经不够用。
对个人:登录入口不乱点、MFA升级强认证。
对企业:身份安全必须升级到防钓鱼、会话级、持续评估。
别等工资被转走,才想起加固账号。
加入知识星球,可获取权益
一、”全球高级持续威胁:网络世界的隐形战争”,总共26章,为你带来体系化认识APT,欢迎感兴趣的朋友入圈交流。
二、为什么加入?
职场瓶颈期找不到突破方向?安全项目落地缺成熟方案?面对APT攻击、勒索病毒不知如何构建防御体系?
三、在这里,你能获得的不只是资料包,而是直接对接行业专家的「私人顾问服务」
✅ 职业发展「精准导航」
1v1简历优化:针对安全岗(渗透测试/安全运营/合规等)拆解JD,突出核心竞争力;
晋升避坑指南:从工程师到安全负责人,分享晋升路径,避开「技术强但管理弱」的晋升陷阱;
技能栈规划:根据你的基础(应届生/3年经验/资深专家)定制学习路线,比如从0到1学SOC安全建设、APT威胁狩猎。
✅ 安全方案「对症开方」
实战方案库:含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案(附落地工具清单+成本测算);
架构设计咨询:小到EDR选型,大到零信任体系搭建,提供「预算效果」平衡的最优解(已帮10+企业节省40%防护成本)。
✅ 圈子资源「直接对接」
大厂安全负责人拆解真实案例(如某支付公司攻防对抗的实战复盘);
四、适合谁?
想突破职业天花板的安全工程师/架构师;
需快速落地安全项目的企业负责人;
关注行业动态的安全爱好者或IT从业人员。
喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《紧急预警|工资直接被转走!Storm755“薪资海盗”席卷加拿大,MFA被轻松绕过!》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论