Оферта за отстъпка за множество лицензи
База данни за заплахи Усъвършенствана постоянна заплаха (APT) Група за киберпрестъпления Jingle Thief

Група за киберпрестъпления Jingle Thief

До Mezo през Усъвършенствана постоянна заплаха (APT)г
Превод на:

Jingle Thief е финансово мотивиран киберпрестъпен клъстер, който изследователите следят заради неговите целенасочени, нискошумови атаки срещу облачни среди, използвани от организации, които издават подаръчни карти. Тъй като подаръчните карти могат да бъдат осребрени с малко лични данни и са лесни за препродажба, компрометирането на работните процеси за издаване осигурява бързи и трудни за проследяване тегления. Операциите на групата се отличават с дълго време на престой, внимателно разузнаване и предпочитание към злоупотреба с самоличност пред традиционния зловреден софтуер – комбинация, която усложнява откриването и реагирането.

Кои са те и как ги наричат изследователите

Анализаторите по сигурността обозначават този клъстер от дейности CL‑CRI‑1032. Етикетът се разделя на клъстер („CL“), воден от престъпна мотивация („CRI“). Оценките на атрибуцията, направени с умерена увереност, свързват дейността с престъпни групи, проследени като Atlas Lion и Storm‑0539, за които се смята, че действат от Мароко и са активни поне от края на 2021 г. Прякорът „Jingle Thief“ отразява навика на групата да атакува около празнични периоди, когато търсенето на подаръчни карти и натискът от издателя се увеличават.

Основни цели и профил на жертвата

Jingle Thief се фокусира върху организации за търговия на дребно и потребителски услуги, които управляват издаването на подаръчни карти в облачни платформи. Крайната им цел е ясна: да получат достъпа, необходим за издаване на подаръчни карти с висока стойност, след което да монетизират тези карти (обикновено чрез препродажба на сиви пазари). Те приоритизират достъпа, който им позволява да извършват издаване в голям мащаб, като същевременно оставят минимална криминалистична следа.

Тактики, техники и процедури (ТТП)

Вместо да разработва специално разработен зловреден софтуер, Jingle Thief разчита на социално инженерство и злоупотреба с облачна идентичност:

  • Кражба на идентификационни данни: Групата използва персонализирани фишинг и smishing кампании за събиране на идентификационни данни за Microsoft 365. Съобщенията са силно персонализирани след предварително разузнаване, често имитиращи ИТ известия или актуализации на билети, за да увеличат процента на кликване и подаване на идентификационни данни.
  • Злоупотреба с самоличност и представяне за друг потребител: След като идентификационните данни бъдат заснети, нападателите влизат в системата и се представят за легитимни потребители, за да имат достъп до приложения за издаване на данни и чувствителна документация. Те умишлено избягват експлойти на „шумни“ крайни точки в полза на злоупотреба с облачни акаунти.
  • Разузнаване и странично движение: След първоначалния достъп те картографират облачната инфраструктура – проучват SharePoint, OneDrive, VPN ръководства, електронни таблици и вътрешни работни потоци, използвани за издаване или проследяване на подаръчни карти – след което ескалират привилегиите и се придвижват странично между облачните акаунти и услуги.

Стратегии за постоянство и заобикаляне на многостранни фалшиви изявления (MFA)

Jingle Thief поддържа дългосрочни позиции (от месеци до повече от година). Наблюдаваните техники за устойчивост включват създаване на правила за препращане на входящи съобщения, незабавно преместване на изпратените фишинг съобщения в „Изтрити елементи“ за скриване на следи, регистриране на нелоялни приложения за удостоверяване и записване на устройства на нападателите в Entra ID. Тези действия позволяват на групата да оцелее след нулиране на пароли и отнемане на токени и бързо да възстанови достъпа.

Оперативни модели и мащаб

Изследователите наблюдаваха координирана вълна от атаки през април-май 2025 г., насочени към множество предприятия по целия свят. В една кампания, според съобщенията, нападателите са запазили достъп в продължение на около 10 месеца и са компрометирали приблизително 60 потребителски акаунта в една единствена среда на жертвата. Техните операции често са насочени директно към портали за издаване на подаръчни карти, като издават карти в множество програми, като същевременно се опитват да сведат до минимум регистрирането и съдебномедицинските метаданни.

Защо измамите с подаръчни карти са привлекателни

Подаръчните карти са привлекателни за измамниците, защото могат да бъдат осребрени или препродадени с минимални идентификационни данни, а работните им процеси за издаване често не са толкова строго наблюдавани, колкото при финансовите платежни системи. Когато нападателите получат облачен достъп до тези работни процеси, те могат бързо да мащабират измамите, оставяйки по-малко очевидни одитни следи, които защитниците да следват.

Индикатори за компромис

  • Необяснимо създаване на правила за входяща поща или автоматично препращане към външни адреси.
  • Нови регистрации на удостоверители или неочаквани регистрации на устройства в Entra ID.
  • Внезапно увеличение на издаването на ваучери за подарък с висока стойност или издаването им извън нормалното работно време.
  • Достъп до местоположения в SharePoint/OneDrive, които съхраняват работни потоци за подаръчни карти, електронни таблици или ръководства за VPN/ИТ администратори.
  • Множество влизания в пощенски кутии от различни геолокации или неизвестни IP адреси, които не съответстват на нормалното потребителско поведение.

Препоръчителни защитни контроли

  • Приложете устойчива на фишинг MFA (пароли/FIDO2) и блокирайте слаби вторични фактори, които могат да бъдат регистрирани дистанционно.
  • Засилете хигиената на самоличността: деактивирайте наследеното удостоверяване, изисквайте политики за условен достъп и използвайте работни станции с привилегирован достъп за администриране.
  • Следете и предупреждавайте за правилата за препращане на пощенски кутии, регистрации на нови удостоверители/устройства и аномален достъп до приложения за издаване на подаръчни карти.
  • Приложете минимални привилегии към системите за издаване и отделете работните процеси за издаване на подаръчни карти от общите бизнес поща/хранилища на данни.

Заключителна оценка

Комбинацията от задълбочено разузнаване, внимателна злоупотреба с акаунти, дълги времена на задържане и техники за заобикаляне на MFA, които Jingle Thief използва, го прави високорисков противник за всяка организация, която издава подаръчни карти. Тъй като групата използва функции за облачна идентичност и услуги, а не шумни експлойти на крайни точки, откриването изисква бдително наблюдение на идентичността, строги MFA политики и контроли, пригодени за защита на работните процеси за издаване. Приоритизирането на тези защитни мерки намалява възможността нападателите тихомълком да издават, осребряват и изчезват.

Тенденция

American Express - Опитът за влизане беше блокиран -...

Фишинг, Спам
Киберпрестъпниците често използват познатостта на надеждните марки, за да примамят нищо неподозиращи потребители да разкрият чувствителна информация. Измамата „American Express - Опитът за влизане беше блокиран“ е отличен пример за тази тактика. Тези имейли се представят за предупреждения за сигурност от American Express, като твърдят, че подозрителен опит за влизане е блокиран и призовават...

Chainspanhub.com

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Измамниците продължават да използват подвеждащи уебсайтове, за да разпространяват измами, натрапчиви реклами и дори зловреден софтуер. В среда, където едно невнимателно кликване може да...

Най-гледан

Зареждане...