Jingle Thief Cybercrime Group

جينجل ثيف هي مجموعة إجرامية إلكترونية ذات دوافع مالية، يتتبعها الباحثون بسبب هجماتها الموجهة والهادئة على بيئات السحابة التي تستخدمها المؤسسات التي تُصدر بطاقات الهدايا. ولأن بطاقات الهدايا يمكن استردادها ببيانات شخصية قليلة، ويسهل إعادة بيعها، فإن عمليات الإصدار المخترقة تُتيح عمليات صرف سريعة يصعب تتبعها. تتميز عمليات المجموعة بطول مدة البقاء، والاستطلاع الدقيق، وتفضيلها لإساءة استخدام الهوية على البرامج الضارة التقليدية، وهو مزيج يُعقّد عملية الكشف والاستجابة.

من هم وماذا يسميهم الباحثون

يُصنّف محللو الأمن هذه المجموعة من الأنشطة بـ CL-CRI-1032. ويُصنّف هذا التصنيف كمجموعة ("CL") مدفوعة بدوافع إجرامية ("CRI"). تربط تقييمات الإسناد، التي أُجريت بثقة متوسطة، هذا النشاط بجماعات إجرامية تُتبّع باسم "أطلس ليون" و"ستورم-0539"، ويُعتقد أنها تعمل من المغرب وتنشط منذ أواخر عام 2021 على الأقل. يعكس لقب "لص جينجل" عادة هذه المجموعة في شن هجماتها خلال فترات الأعياد، حيث يزداد الطلب على بطاقات الهدايا ويزداد ضغط مُصدريها.

الأهداف الأساسية وملف الضحية

تُركز شركة Jingle Thief على مؤسسات خدمات التجزئة والمستهلكين التي تُدير إصدار بطاقات الهدايا عبر منصات سحابية. هدفها النهائي واضح: الحصول على الوصول اللازم لإصدار بطاقات هدايا عالية القيمة، ثم تحقيق الربح من هذه البطاقات (عادةً عن طريق إعادة بيعها في الأسواق الموازية). تُعطي الشركة الأولوية للوصول الذي يُمكّنها من إصدار بطاقات هدايا على نطاق واسع مع ترك أثر جنائي ضئيل.

التكتيكات والتقنيات والإجراءات

بدلاً من تطوير برامج ضارة مخصصة، يعتمد Jingle Thief على الهندسة الاجتماعية وإساءة استخدام الهوية السحابية:

• سرقة بيانات الاعتماد: تستخدم المجموعة حملات تصيد احتيالي ورسائل نصية قصيرة مصممة خصيصًا لسرقة بيانات اعتماد Microsoft 365. تُخصص الرسائل بشكل كبير بعد الاستطلاع الأولي، وغالبًا ما تُحاكي إشعارات تكنولوجيا المعلومات أو تحديثات التذاكر لزيادة معدلات النقر وإرسال بيانات الاعتماد.
• إساءة استخدام الهوية وانتحال الشخصية: بمجرد الحصول على بيانات الاعتماد، يُسجل المهاجمون دخولهم وينتحلون هويات المستخدمين الشرعيين للوصول إلى تطبيقات الإصدار والوثائق الحساسة. ويتجنبون عمدًا عمليات استغلال نقاط النهاية المُزعجة، مُفضّلين إساءة استخدام الحسابات السحابية.
• الاستطلاع والحركة الجانبية: بعد الوصول الأولي، يقومون برسم خريطة لممتلكات السحابة - استكشاف SharePoint، وOneDrive، وأدلة VPN، وجداول البيانات، وسير العمل الداخلية المستخدمة لإصدار بطاقات الهدايا أو تتبعها - ثم تصعيد الامتيازات والانتقال أفقياً عبر حسابات وخدمات السحابة.

استراتيجيات الاستمرارية وتجاوز المصادقة الثنائية

يحتفظ سارق جينجل بمواقع راسخة طويلة الأمد (من أشهر إلى أكثر من عام). تشمل أساليب الثبات المُلاحَظة إنشاء قواعد إعادة توجيه البريد الوارد، ونقل رسائل التصيد الاحتيالي المُرسَلة فورًا إلى "العناصر المحذوفة" لإخفاء آثارها، وتسجيل تطبيقات مصادقة غير موثوقة، وتسجيل أجهزة المهاجمين في Entra ID. تُمكّن هذه الإجراءات المجموعة من تجاوز عمليات إعادة تعيين كلمات المرور وإلغاء الرموز، وإعادة الوصول بسرعة.

الأنماط التشغيلية والحجم

لاحظ الباحثون موجةً منسقةً من الهجمات في أبريل/نيسان ومايو/أيار 2025 استهدفت العديد من الشركات حول العالم. في إحدى الحملات، أفادت التقارير أن المهاجمين احتفظوا بإمكانية الوصول إلى النظام لمدة تقارب 10 أشهر، واخترقوا ما يقرب من 60 حساب مستخدم في بيئة ضحية واحدة. غالبًا ما تستهدف عملياتهم بوابات إصدار بطاقات الهدايا مباشرةً، حيث يصدرون البطاقات عبر برامج متعددة، مع محاولة تقليل تسجيل البيانات وتحليلها.

لماذا يُعد الاحتيال ببطاقات الهدايا جذابًا؟

تُعدّ بطاقات الهدايا جذابةً للمحتالين نظرًا لإمكانية استردادها أو إعادة بيعها بأقل قدرٍ من بيانات التعريف، كما أن سير عمل إصدارها غالبًا ما يكون أقل صرامةً من أنظمة الدفع المالية. عندما يحصل المهاجمون على وصول سحابي إلى سير العمل هذا، يُمكنهم توسيع نطاق الاحتيال بسرعة مع ترك مسارات تدقيق أقل وضوحًا للمدافعين.

مؤشرات التنازل

• إنشاء قواعد البريد الوارد أو إعادة التوجيه التلقائي إلى عناوين خارجية دون تفسير.
• تسجيلات مصادقة جديدة أو تسجيلات أجهزة غير متوقعة في Entra ID.
• زيادة مفاجئة في إصدار بطاقات الهدايا ذات القيمة العالية أو إصدارها خارج ساعات العمل العادية.
• الوصول إلى مواقع SharePoint/OneDrive التي تخزن سير عمل بطاقات الهدايا أو جداول البيانات أو أدلة VPN/مسؤولي تكنولوجيا المعلومات.
• تسجيلات دخول متعددة لصناديق البريد من مواقع جغرافية مختلفة أو عناوين IP غير معروفة لا تتطابق مع سلوك المستخدم العادي.

الضوابط الدفاعية الموصى بها

• فرض مصادقة متعددة العوامل مقاومة للتصيد الاحتيالي (مفاتيح المرور/FIDO2) وحظر العوامل الثانوية الضعيفة التي يمكن تسجيلها عن بُعد.
• تعزيز نظافة الهوية: تعطيل المصادقة القديمة، وطلب سياسات الوصول المشروط، واستخدام محطات العمل ذات الوصول المميز للإدارة.
• مراقبة قواعد إعادة توجيه صندوق البريد الإلكتروني، وعمليات تسجيل المصادقة/الجهاز الجديدة، والوصول غير الطبيعي إلى تطبيقات إصدار بطاقات الهدايا، والتنبيه بشأنها.

• تطبيق الحد الأدنى من الامتيازات على أنظمة الإصدار وفصل سير عمل إصدار بطاقات الهدايا عن مخازن البريد/البيانات التجارية العامة.

التقييم الختامي

بفضل مزيج جينجل ثيف من الاستطلاع العميق، وإساءة استخدام الحسابات بعناية، وفترات الانتظار الطويلة، وتقنيات تجاوز المصادقة الثنائية، يُشكل هذا البرنامج عدوًا شديد الخطورة لأي مؤسسة تُصدر بطاقات الهدايا. ولأن المجموعة تستفيد من ميزات الهوية والخدمات السحابية بدلًا من استغلال نقاط النهاية المُزعج، يتطلب الكشف مراقبة دقيقة للهوية، وسياسات مصادقة ثنائية صارمة، وضوابط مُصممة خصيصًا لحماية سير عمل الإصدار. إن إعطاء الأولوية لهذه التدابير الدفاعية يُقلل من فرصة إصدار المهاجمين وسحب الأموال والاختفاء بهدوء.