জিঙ্গেল থিফ সাইবার ক্রাইম গ্রুপ
জিঙ্গেল থিফ হল আর্থিকভাবে অনুপ্রাণিত একটি সাইবার অপরাধী গোষ্ঠী যা গবেষকরা লক্ষ্য করে আসছেন কারণ গিফট কার্ড ইস্যুকারী সংস্থাগুলি ক্লাউড পরিবেশে লক্ষ্যবস্তু, কম শব্দে আক্রমণ করে। যেহেতু গিফট কার্ডগুলি খুব কম ব্যক্তিগত তথ্য দিয়েই রিডিম করা যায় এবং পুনরায় বিক্রি করা সহজ, তাই ইস্যুকরণের কর্মপ্রবাহ দ্রুত, ট্রেস করা কঠিন নগদ অর্থ প্রদান করে। গ্রুপটির কার্যক্রম দীর্ঘ সময় ধরে থাকার সময়, সতর্কতার সাথে নজরদারি এবং ঐতিহ্যবাহী ম্যালওয়্যারের চেয়ে পরিচয়ের অপব্যবহারের জন্য অগ্রাধিকারের জন্য উল্লেখযোগ্য - এমন একটি সমন্বয় যা সনাক্তকরণ এবং প্রতিক্রিয়া জটিল করে তোলে।
সুচিপত্র
তারা কারা এবং গবেষকরা তাদের কী নামে ডাকেন
নিরাপত্তা বিশ্লেষকরা এই কার্যকলাপ ক্লাস্টারটিকে CL‑CRI‑1032 বলে অভিহিত করেছেন। লেবেলটি অপরাধমূলক প্রেরণা ('CRI') দ্বারা পরিচালিত একটি ক্লাস্টার ('CL') হিসাবে বিভক্ত। মাঝারি আত্মবিশ্বাসের সাথে করা অ্যাট্রিবিউশন মূল্যায়ন, এই কার্যকলাপকে Atlas Lion এবং Storm‑0539 নামে চিহ্নিত অপরাধমূলক গোষ্ঠীর সাথে যুক্ত করে, যারা মরক্কো থেকে পরিচালিত বলে মনে করা হয় এবং কমপক্ষে 2021 সালের শেষের দিক থেকে সক্রিয়। 'জিংল থিফ' ডাকনামটি উপহার কার্ডের চাহিদা এবং ইস্যুকারীর চাপ বৃদ্ধি পেলে ছুটির সময়গুলিতে আক্রমণ করার গোষ্ঠীর অভ্যাসকে প্রতিফলিত করে।
প্রাথমিক উদ্দেশ্য এবং ভিকটিম প্রোফাইল
জিঙ্গেল থিফ খুচরা ও ভোক্তা পরিষেবা সংস্থাগুলির উপর দৃষ্টি নিবদ্ধ করে যারা ক্লাউড প্ল্যাটফর্মগুলিতে উপহার কার্ড ইস্যু পরিচালনা করে। তাদের শেষ খেলাটি সহজ: উচ্চ-মূল্যের উপহার কার্ড ইস্যু করার জন্য প্রয়োজনীয় অ্যাক্সেস অর্জন করা, তারপর সেই কার্ডগুলি নগদীকরণ করা (সাধারণত ধূসর বাজারে পুনঃবিক্রয়ের মাধ্যমে)। তারা এমন অ্যাক্সেসকে অগ্রাধিকার দেয় যা তাদের ন্যূনতম ফরেনসিক ট্রেল রেখে স্কেলে ইস্যু করতে দেয়।
কৌশল, কৌশল এবং পদ্ধতি (TTP)
জিঙ্গেল থিফ কাস্টম ম্যালওয়্যার তৈরির পরিবর্তে সোশ্যাল ইঞ্জিনিয়ারিং এবং ক্লাউড আইডেন্টিটি অপব্যবহারের উপর নির্ভর করে:
- শংসাপত্র চুরি: এই গোষ্ঠীটি মাইক্রোসফ্ট 365 শংসাপত্র সংগ্রহের জন্য বিশেষভাবে তৈরি ফিশিং এবং স্মিশিং প্রচারণা ব্যবহার করে। প্রাথমিক অনুসন্ধানের পরে বার্তাগুলি অত্যন্ত কাস্টমাইজ করা হয়, প্রায়শই ক্লিক-থ্রু এবং শংসাপত্র জমা দেওয়ার হার বাড়ানোর জন্য আইটি নোটিশ বা টিকিট আপডেটের অনুকরণ করে।
- পরিচয়ের অপব্যবহার এবং ছদ্মবেশ ধারণ: একবার পরিচয়পত্র ক্যাপচার হয়ে গেলে, আক্রমণকারীরা লগ ইন করে এবং ইস্যু করা অ্যাপ এবং সংবেদনশীল ডকুমেন্টেশন অ্যাক্সেস করার জন্য বৈধ ব্যবহারকারীদের ছদ্মবেশ ধারণ করে। তারা ইচ্ছাকৃতভাবে ক্লাউড-নেটিভ অ্যাকাউন্ট অপব্যবহারের পক্ষে কোলাহলপূর্ণ এন্ডপয়েন্ট শোষণ এড়ায়।
- রিকনেসান্স এবং পার্শ্বীয় গতিবিধি: প্রাথমিক অ্যাক্সেসের পরে, তারা ক্লাউড এস্টেট ম্যাপ করে — SharePoint, OneDrive, VPN গাইড, স্প্রেডশিট এবং উপহার কার্ড ইস্যু বা ট্র্যাক করার জন্য ব্যবহৃত অভ্যন্তরীণ কর্মপ্রবাহ অন্বেষণ করে — তারপর সুবিধাগুলি বৃদ্ধি করে এবং ক্লাউড অ্যাকাউন্ট এবং পরিষেবাগুলিতে পার্শ্বীয়ভাবে স্থানান্তর করে।
অধ্যবসায় এবং MFA বাইপাস কৌশল
জিঙ্গেল থিফ দীর্ঘমেয়াদী অবস্থান ধরে রেখেছে (মাস থেকে এক বছরেরও বেশি সময় ধরে)। পর্যবেক্ষণ করা কৌশলগুলির মধ্যে রয়েছে ইনবক্স ফরোয়ার্ডিং নিয়ম তৈরি করা, ট্রেস লুকানোর জন্য প্রেরিত ফিশিং বার্তাগুলিকে অবিলম্বে ডিলিট করা আইটেমগুলিতে স্থানান্তর করা, দুর্বৃত্ত প্রমাণীকরণকারী অ্যাপগুলি নিবন্ধন করা এবং আক্রমণকারী ডিভাইসগুলিকে এন্ট্রা আইডিতে নথিভুক্ত করা। এই পদক্ষেপগুলি গ্রুপটিকে পাসওয়ার্ড রিসেট এবং টোকেন প্রত্যাহার থেকে বাঁচতে এবং দ্রুত অ্যাক্সেস পুনরায় স্থাপন করতে দেয়।
অপারেশনাল প্যাটার্ন এবং স্কেল
গবেষকরা ২০২৫ সালের এপ্রিল-মে মাসে বিশ্বব্যাপী একাধিক উদ্যোগকে লক্ষ্য করে সমন্বিত আক্রমণের উত্থান লক্ষ্য করেছেন। একটি অভিযানে, আক্রমণকারীরা প্রায় ১০ মাস ধরে অ্যাক্সেস ধরে রেখেছিল এবং একটি একক শিকার পরিবেশে প্রায় ৬০টি ব্যবহারকারীর অ্যাকাউন্টের সাথে আপস করেছিল বলে জানা গেছে। তাদের কার্যক্রম প্রায়শই সরাসরি উপহার-কার্ড ইস্যু পোর্টালগুলিকে লক্ষ্য করে, লগিং এবং ফরেনসিক মেটাডেটা কমানোর চেষ্টা করে একাধিক প্রোগ্রাম জুড়ে কার্ড ইস্যু করে।
গিফট কার্ড জালিয়াতি কেন আকর্ষণীয়?
গিফট কার্ডগুলি জালিয়াতদের কাছে আকর্ষণীয় কারণ এগুলি ন্যূনতম শনাক্তকরণ ডেটা ব্যবহার করে রিডিম করা বা পুনরায় বিক্রি করা যায় এবং তাদের ইস্যু করার কর্মপ্রবাহ প্রায়শই আর্থিক পেমেন্ট সিস্টেমের তুলনায় কম কঠোরভাবে পর্যবেক্ষণ করা হয়। আক্রমণকারীরা যখন সেই কর্মপ্রবাহগুলিতে ক্লাউড অ্যাক্সেস পায়, তখন তারা দ্রুত জালিয়াতি স্কেল করতে পারে এবং রক্ষাকারীদের অনুসরণ করার জন্য কম স্পষ্ট অডিট ট্রেল ছেড়ে দেয়।
আপসের সূচক
- ইনবক্সের নিয়ম ব্যাখ্যাতীতভাবে তৈরি করা অথবা বহিরাগত ঠিকানায় স্বয়ংক্রিয়ভাবে ফরোয়ার্ড করা।
- Entra ID-তে নতুন প্রমাণীকরণকারী নিবন্ধন বা অপ্রত্যাশিত ডিভাইস তালিকাভুক্তি।
- উচ্চমূল্যের উপহার কার্ড ইস্যু বা স্বাভাবিক ব্যবসায়িক সময়ের বাইরে ইস্যুতে হঠাৎ বৃদ্ধি।
- গিফট-কার্ড ওয়ার্কফ্লো, স্প্রেডশিট, অথবা VPN/IT-অ্যাডমিন গাইড সংরক্ষণ করে এমন SharePoint/OneDrive অবস্থানগুলিতে অ্যাক্সেস।
- বিভিন্ন ভূ-অবস্থান বা অজানা আইপি থেকে একাধিক মেলবক্স লগইন যা স্বাভাবিক ব্যবহারকারীর আচরণের সাথে মেলে না।
প্রস্তাবিত প্রতিরক্ষামূলক নিয়ন্ত্রণ
- ফিশিং-প্রতিরোধী MFA (পাসকি/FIDO2) প্রয়োগ করুন এবং দূরবর্তীভাবে নিবন্ধিত হতে পারে এমন দুর্বল দ্বিতীয় ফ্যাক্টরগুলিকে ব্লক করুন।
- পরিচয়ের স্বাস্থ্যবিধি কঠোর করুন: লিগ্যাসি প্রমাণীকরণ অক্ষম করুন, শর্তসাপেক্ষ অ্যাক্সেস নীতিমালা প্রয়োগ করুন এবং প্রশাসনের জন্য বিশেষাধিকারপ্রাপ্ত অ্যাক্সেস ওয়ার্কস্টেশন ব্যবহার করুন।
- মেলবক্স ফরওয়ার্ডিং নিয়ম, নতুন প্রমাণীকরণকারী/ডিভাইস তালিকাভুক্তি এবং উপহার-কার্ড ইস্যু করার আবেদনগুলিতে অস্বাভাবিক অ্যাক্সেসের উপর নজর রাখুন এবং সতর্ক করুন।
সমাপনী মূল্যায়ন
জিঙ্গেল থিফের গভীর অনুসন্ধান, সতর্কতার সাথে অ্যাকাউন্টের অপব্যবহার, দীর্ঘ সময় ধরে থাকার সময় এবং এমএফএ বাইপাস কৌশলের সমন্বয় এটিকে উপহার কার্ড ইস্যুকারী যেকোনো সংস্থার জন্য একটি উচ্চ-ঝুঁকিপূর্ণ প্রতিপক্ষ করে তোলে। যেহেতু গ্রুপটি কোলাহলপূর্ণ এন্ডপয়েন্ট শোষণের পরিবর্তে ক্লাউড পরিচয় এবং পরিষেবা বৈশিষ্ট্যগুলিকে কাজে লাগায়, তাই সনাক্তকরণের জন্য সতর্ক পরিচয় পর্যবেক্ষণ, কঠোর এমএফএ নীতি এবং ইস্যু কর্মপ্রবাহ রক্ষা করার জন্য তৈরি নিয়ন্ত্রণ প্রয়োজন। এই প্রতিরক্ষামূলক ব্যবস্থাগুলিকে অগ্রাধিকার দেওয়ার ফলে আক্রমণকারীদের চুপচাপ ইস্যু করা, নগদ অর্থ আউট করা এবং অদৃশ্য হওয়ার সুযোগ হ্রাস পায়।
