Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Amenaça persistent avançada (APT) Grup de Cibercrim Jingle Thief

Grup de Cibercrim Jingle Thief

El Mezo el Amenaça persistent avançada (APT)
Traduir a:

Jingle Thief és un clúster de ciberdelinqüents amb motivació financera que els investigadors han estat seguint a causa dels seus atacs dirigits i de baix soroll a entorns de núvol utilitzats per organitzacions que emeten targetes regal. Com que les targetes regal es poden bescanviar amb poques dades personals i són fàcils de revendre, els fluxos de treball d'emissió compromesos proporcionen retirades ràpides i difícils de rastrejar. Les operacions del grup destaquen pels seus llargs temps de permanència, el reconeixement acurat i una preferència per l'ús indegut de la identitat en lloc del programari maliciós tradicional, una combinació que complica la detecció i la resposta.

Qui són i com els anomenen els investigadors

Els analistes de seguretat etiqueten aquest clúster d'activitat com a CL-CRI-1032. L'etiqueta es desglossa com un clúster ('CL') impulsat per una motivació criminal ('CRI'). Les avaluacions d'atribució, fetes amb una confiança moderada, vinculen l'activitat amb grups criminals rastrejats com a Atlas Lion i Storm-0539, que es creu que operen des del Marroc i són actius des de finals del 2021 com a mínim. El sobrenom de "Jingle Thief" reflecteix l'hàbit del grup de fer atacs durant els períodes de vacances, quan augmenta la demanda de targetes regal i la pressió de l'emissor.

Objectius principals i perfil de la víctima

Jingle Thief se centra en organitzacions minoristes i de serveis al consumidor que gestionen l'emissió de targetes regal en plataformes al núvol. El seu objectiu final és senzill: obtenir l'accés necessari per emetre targetes regal d'alt valor i després monetitzar aquestes targetes (normalment mitjançant la revenda en mercats grisos). Prioritzen l'accés que els permet realitzar l'emissió a escala deixant un rastre forense mínim.

Tàctiques, Tècniques i Procediments (TTP)

En lloc de desenvolupar programari maliciós a mida, Jingle Thief es basa en l'enginyeria social i l'abús d'identitat al núvol:

  • Robatori de credencials: el grup utilitza campanyes de phishing i smishing personalitzades per obtenir credencials de Microsoft 365. Els missatges es personalitzen molt després d'un reconeixement preliminar, sovint imitant avisos de TI o actualitzacions de tiquets per augmentar les taxes de clics i d'enviament de credencials.
  • Ús indegut d'identitat i suplantació d'identitat: un cop capturades les credencials, els atacants inicien sessió i suplanten la identitat d'usuaris legítims per accedir a les aplicacions d'emissió i a la documentació confidencial. Eviten deliberadament les vulnerabilitats sorolloses dels endpoints a favor de l'abús de comptes natius del núvol.
  • Reconeixement i moviment lateral: després de l'accés inicial, mapen l'espai al núvol (explorant SharePoint, OneDrive, guies VPN, fulls de càlcul i fluxos de treball interns utilitzats per emetre o fer un seguiment de targetes regal) i després escalen privilegis i es mouen lateralment entre comptes i serveis al núvol.

Estratègies de persistència i bypass MFA

Jingle Thief manté punts de suport a llarg termini (des de mesos fins a més d'un any). Les tècniques de persistència observades inclouen la creació de regles de reenviament de la safata d'entrada, el moviment immediat dels missatges de phishing enviats a Elements eliminats per ocultar els rastres, el registre d'aplicacions d'autenticació fraudulentes i la inscripció de dispositius atacants a Entra ID. Aquestes accions permeten al grup sobreviure als restabliments de contrasenya i a les revocacions de testimonis i restablir l'accés ràpidament.

Patrons operacionals i escala

Els investigadors van observar un augment coordinat d'atacs entre l'abril i el maig de 2025 dirigit a diverses empreses de tot el món. En una campanya, els atacants van retenir l'accés durant uns 10 mesos i van comprometre aproximadament 60 comptes d'usuari en un únic entorn de víctima. Les seves operacions sovint es dirigeixen directament als portals d'emissió de targetes regal, emetent targetes a través de múltiples programes mentre intenten minimitzar el registre i les metadades forenses.

Per què és atractiu el frau de les targetes regal

Les targetes regal són atractives per als estafadors perquè es poden bescanviar o revendre amb un mínim de dades d'identificació, i els seus fluxos de treball d'emissió sovint es controlen amb menys rigor que els sistemes de pagament financer. Quan els atacants obtenen accés al núvol a aquests fluxos de treball, poden escalar el frau ràpidament i deixar pistes d'auditoria menys òbvies perquè els defensors les segueixin.

Indicadors de compromís

  • Creació inexplicable de regles de safata d'entrada o reenviament automàtic a adreces externes.
  • Nous registres d'autenticació o inscripcions de dispositius inesperades a Entra ID.
  • Increments sobtats en l'emissió de targetes regal d'alt valor o emissió fora de l'horari comercial habitual.
  • Accés a ubicacions del SharePoint/OneDrive que emmagatzemen fluxos de treball de targetes regal, fulls de càlcul o guies d'administració de VPN/TI.
  • Diversos inicis de sessió a la bústia de correu des de diferents ubicacions geogràfiques o IP desconegudes que no coincideixen amb el comportament normal de l'usuari.

Controls defensius recomanats

  • Aplicar l'MFA (claus d'accés/FIDO2) resistent a la suplantació d'identitat i bloquejar els segons factors febles que es poden registrar de forma remota.
  • Enfortir la higiene d'identitat: desactivar l'autenticació antiga, exigir polítiques d'accés condicional i utilitzar estacions de treball amb accés privilegiat per a l'administració.
  • Supervisar i alertar sobre les regles de reenviament de bústies de correu, les noves inscripcions d'autenticadors/dispositius i l'accés anòmal a les sol·licituds d'emissió de targetes regal.
  • Aplicar el privilegi mínim als sistemes d'emissió i separar els fluxos de treball d'emissió de targetes regal dels magatzems de correu/dades empresarials generals.

Avaluació final

La combinació de Jingle Thief de reconeixement profund, ús indegut acurat dels comptes, temps de permanència llargs i tècniques d'elusió de l'MFA el converteix en un adversari d'alt risc per a qualsevol organització que emeti targetes regal. Com que el grup aprofita les funcions d'identitat i servei al núvol en lloc d'explotacions sorolloses de punts finals, la detecció requereix una supervisió vigilant de la identitat, polítiques estrictes d'MFA i controls adaptats per protegir els fluxos de treball d'emissió. Prioritzar aquestes mesures defensives redueix la possibilitat que els atacants emetin, retirin diners i desapareguin silenciosament.

Tendència

American Express - Estafa: intent d'inici de sessió...

Phishing, Correu brossa
Els ciberdelinqüents sovint exploten la familiaritat de les marques de confiança per atraure usuaris desprevinguts perquè revelin informació confidencial. L'estafa "American Express - Intent d'inici de sessió bloquejat" és un bon exemple d'aquesta tàctica. Aquests correus electrònics suplanten alertes de seguretat d'American Express, afirmant que s'ha bloquejat un intent d'inici de sessió...

Més vist

Carregant...