![]() |
cover | topik.id |
Microsoft Threat Intelligence melaporkan temuan terbaru tentang kelompok peretas bermotivasi finansial yang dilacak sebagai Storm-2657. Kelompok ini melakukan serangan “pembajakan gaji” dengan menembus akun karyawan, mengakses profil sumber daya manusia (SDM), lalu mengalihkan pembayaran gaji ke rekening bank yang mereka kendalikan. Serangan ini terutama menargetkan karyawan di sektor pendidikan tinggi di Amerika Serikat, dengan memanfaatkan platform perangkat lunak sebagai layanan (SaaS) seperti Workday.
Menurut Microsoft, serangan yang terjadi pada paruh pertama 2025 ini tidak disebabkan oleh kerentanan pada sistem Workday, melainkan akibat lemahnya keamanan di sisi pengguna. Pelaku menggunakan rekayasa sosial dan teknik phishing canggih untuk mencuri kredensial dan kode autentikasi multifaktor (MFA). Ketiadaan atau lemahnya penerapan MFA tahan phishing menjadi celah utama yang dimanfaatkan untuk membobol akun karyawan.
"Kami mengidentifikasi pelaku yang secara khusus menargetkan profil Workday. Namun, penting untuk dicatat bahwa sistem SaaS apa pun yang menyimpan informasi SDM atau pembayaran dan rekening bank dapat dengan mudah ditargetkan dengan teknik yang sama. Serangan-serangan ini tidak menunjukkan kerentanan apa pun pada platform atau produk Workday, melainkan pelaku ancaman bermotivasi finansial yang menggunakan taktik rekayasa sosial yang canggih," ungkap Tim Microsoft Threat Intelligence dalam keterangan resminya, seperti dilansir Minggu (12/11/2025).
Setelah memperoleh akses awal melalui email phishing, Storm-2657 menembus sistem Exchange Online milik korban, lalu memodifikasi profil Workday karyawan. Mereka membuat aturan kotak masuk agar notifikasi dari Workday otomatis terhapus, menyembunyikan aktivitas perubahan data penggajian. Ujungnya, gaji karyawan dialihkan ke rekening pelaku tanpa sepengetahuan korban, mengakibatkan kerugian finansial.
Microsoft mencatat pola serangan yang sistematis. Sejak Maret 2025, tercatat 11 akun universitas berhasil disusupi dan digunakan untuk mengirim ribuan email phishing ke lebih dari 6.000 target di 25 universitas. Email yang dikirim mengandung tautan Google Docs atau pesan palsu bertema kesehatan, seperti “Kasus Penyakit Menular Dikonfirmasi” atau “Periksa Status Paparan Anda”. Beberapa email lainnya mengatasnamakan fakultas atau pihak HRD kampus untuk menipu penerima.
Tema phishing yang digunakan terus berevolusi. Belakangan, Storm-2657 meniru komunikasi resmi universitas, lengkap dengan nama rektor dan dokumen kompensasi karyawan, untuk meningkatkan kepercayaan target. Begitu korban mengklik tautan palsu, mereka diarahkan ke situs yang dikendalikan pelaku guna mencuri kredensial dan kode MFA.
Setelah akun korban disusupi, Storm-2657 memperkuat cengkeramannya dengan menambahkan nomor telepon sendiri ke sistem MFA korban, sehingga mereka dapat terus mengakses akun tanpa diketahui. Pelaku kemudian mengubah data penggajian di Workday dan memastikan seluruh notifikasi terkait perubahan tersebut dihapus dari kotak masuk. Microsoft mendeteksi aktivitas semacam ini melalui log audit dan sistem deteksi terintegrasi di Microsoft Defender for Cloud Apps.
"Pelaku ancaman menggunakan email phishing yang realistis, menargetkan akun di beberapa universitas, untuk mendapatkan kredensial. Sejak Maret 2025, kami telah mengamati 11 akun yang berhasil dibobol di tiga universitas yang digunakan untuk mengirim email phishing ke hampir 6.000 akun email di 25 universitas," ungkapnya.
Sebagai mitigasi, Microsoft merekomendasikan penerapan autentikasi tanpa kata sandi dan MFA tahan phishing seperti kunci keamanan FIDO2, Windows Hello for Business, atau Microsoft Authenticator. Selain itu, organisasi disarankan untuk segera mengatur ulang kredensial yang disusupi, meninjau ulang perangkat MFA, memulihkan perubahan penggajian, dan menghapus aturan kotak masuk berbahaya yang dibuat oleh penyerang.
Microsoft menekankan pentingnya koordinasi antar sistem keamanan melalui Microsoft Defender XDR dan Sentinel untuk mendeteksi aktivitas lintas platform. Perusahaan juga mengajak pelanggan Workday dan organisasi lain untuk memantau panduan keamanan terbaru serta memanfaatkan alat intelijen ancaman Microsoft guna mencegah insiden serupa.
"Microsoft Defender XDR mengoordinasikan deteksi, pencegahan, investigasi, dan respons di seluruh titik akhir, identitas, email, aplikasi untuk menyediakan perlindungan terintegrasi terhadap serangan," jelasnya.