Slevová nabídka pro více licencí
Databáze hrozeb Pokročilá trvalá hrozba (APT) Skupina pro kyberkriminalitu Jingle Thief

Skupina pro kyberkriminalitu Jingle Thief

V roce Mezo v roce Pokročilá trvalá hrozba (APT)
Přeložit do:

Jingle Thief je finančně motivovaný kyberzločinecký klastr, který výzkumníci sledují kvůli jeho cíleným, tichým útokům na cloudová prostředí používaná organizacemi vydávajícími dárkové karty. Protože dárkové karty lze uplatnit s minimem osobních údajů a snadno se dále prodávají, ohrožení pracovních postupů při vydávání umožňuje rychlé a obtížně sledovatelné výběry. Činnost skupiny se vyznačuje dlouhou dobou prodlevy, pečlivým průzkumem a preferencí zneužití identity před tradičním malwarem – tato kombinace komplikuje detekci a reakci.

Kdo jsou a jak je nazývají vědci

Bezpečnostní analytici označují tento klastr aktivit jako CL‑CRI‑1032. Toto označení je rozděleno do klastru („CL“) s kriminální motivací („CRI“). Posouzení atribuce, provedená s mírnou jistotou, spojují aktivitu se zločineckými skupinami sledovanými jako Atlas Lion a Storm‑0539, o nichž se předpokládá, že operují z Maroka a jsou aktivní přinejmenším od konce roku 2021. Přezdívka „Jingle Thief“ (Zloděj cinkání) odráží zvyk skupiny útočit v období svátků, kdy roste poptávka po dárkových kartách a tlak na jejich vydavatele.

Primární cíle a profil oběti

Jingle Thief se zaměřuje na maloobchodní a spotřebitelské organizace, které spravují vydávání dárkových karet na cloudových platformách. Jejich cíl je přímočarý: získat přístup potřebný k vydávání dárkových karet s vysokou hodnotou a poté tyto karty zpeněžit (obvykle prostřednictvím dalšího prodeje na šedých trzích). Upřednostňují přístup, který jim umožňuje provádět vydávání ve velkém měřítku s minimální forenzní stopou.

Taktiky, techniky a postupy (TTP)

Jingle Thief se místo vývoje zakázkového malwaru spoléhá na sociální inženýrství a zneužívání cloudové identity:

  • Krádež přihlašovacích údajů: Skupina používá k získávání přihlašovacích údajů k Microsoft 365 phishingové a smishingové kampaně na míru. Zprávy jsou po předběžném průzkumu vysoce personalizované a často napodobují oznámení IT nebo aktualizace tiketů, aby se zvýšila míra prokliků a odeslání přihlašovacích údajů.
  • Zneužití identity a zosobnění: Jakmile jsou přihlašovací údaje zaznamenány, útočníci se přihlásí a vydávají se za legitimní uživatele, aby měli přístup k aplikacím pro vydávání přihlašovacích údajů a citlivé dokumentaci. Záměrně se vyhýbají zneužití hlučných koncových bodů a upřednostňují zneužití cloudových účtů.
  • Průzkum a laterální přesun: Po počátečním přístupu zmapují cloudové prostředí – prozkoumají SharePoint, OneDrive, průvodce VPN, tabulky a interní pracovní postupy používané k vydávání nebo sledování dárkových karet – poté eskalují oprávnění a přesouvají se laterálně napříč cloudovými účty a službami.

Strategie pro perzistenci a obcházení vícefaktorových ověřovacích hlášení (MFA)

Jingle Thief si udržuje dlouhodobé pozice (měsíce až více než rok). Mezi pozorované techniky perzistence patří vytváření pravidel pro přesměrování doručené pošty, okamžité přesouvání odeslaných phishingových zpráv do složky Smazané položky za účelem skrytí stop, registrace falešných ověřovacích aplikací a registrace zařízení útočníka do Entra ID. Tyto akce umožňují skupině přežít resetování hesla a odebrání tokenů a rychle obnovit přístup.

Provozní vzorce a rozsah

Výzkumníci zaznamenali v dubnu až květnu 2025 koordinovaný nárůst útoků zaměřených na několik podniků po celém světě. V jedné kampani si útočníci údajně udrželi přístup po dobu přibližně 10 měsíců a napadli zhruba 60 uživatelských účtů v prostředí jedné oběti. Jejich operace se často zaměřují přímo na portály pro vydávání dárkových karet, vydávají karty v rámci více programů a zároveň se snaží minimalizovat protokolování a forenzní metadata.

Proč jsou podvody s dárkovými kartami atraktivní

Dárkové karty jsou pro podvodníky atraktivní, protože je lze uplatnit nebo dále prodat s minimálními identifikačními údaji a jejich pracovní postupy vydávání jsou často méně přísně monitorovány než u finančních platebních systémů. Když útočníci získají cloudový přístup k těmto pracovním postupům, mohou podvody rychle škálovat a zároveň zanechat méně zřejmé auditní stopy, které by obránci mohli sledovat.

Ukazatele kompromisu

  • Nevysvětlitelné vytváření pravidel pro doručenou poštu nebo automatické přeposílání na externí adresy.
  • Nové registrace ověřovatelů nebo neočekávané registrace zařízení v Entra ID.
  • Náhlé zvýšení vydávání dárkových karet vysoké hodnoty nebo vydávání mimo běžnou pracovní dobu.
  • Přístup k úložištím SharePointu/OneDrive, kde jsou uloženy pracovní postupy s dárkovými kartami, tabulky nebo příručky pro VPN/IT administraci.
  • Více přihlášení k poštovní schránce z různých geolokací nebo neznámých IP adres, které neodpovídají běžnému chování uživatelů.

Doporučené obranné mechanismy

  • Vynucujte vícefaktorovou autentizaci (hesla/FIDO2) odolnou proti phishingu a blokujte slabé druhé faktory, které lze zaregistrovat na dálku.
  • Zpřísněte hygienu identity: zakažte starší ověřování, vyžadujte zásady podmíněného přístupu a pro správu používejte pracovní stanice s privilegovaným přístupem.
  • Sledujte a upozorňujte na pravidla přesměrování poštovní schránky, nové registrace ověřovatelů/zařízení a anomální přístup k aplikacím pro vydávání dárkových karet.
  • Uplatňujte co nejmenší oprávnění pro vydávací systémy a oddělte pracovní postupy vydávání dárkových karet od obecných úložišť firemní pošty/dat.

Závěrečné hodnocení

Kombinace hloubkového průzkumu, pečlivého zneužití účtů, dlouhých prodlev a technik obcházení vícefaktorové autentizace (MFA) ze skupiny Jingle Thief činí vysoce rizikového protivníka pro jakoukoli organizaci, která vydává dárkové karty. Protože skupina využívá cloudové funkce identity a služeb spíše než hlučné exploity koncových bodů, vyžaduje detekce bedlivé sledování identity, přísné zásady MFA a kontroly přizpůsobené ochraně pracovních postupů vydávání. Upřednostnění těchto obranných opatření snižuje pravděpodobnost, že útočníci nenápadně vydají, proplatí a zmizí.

Trendy

American Express - Pokus o přihlášení byl zablokován...

Phishing, Spam
Kyberzločinci často zneužívají známost důvěryhodných značek k nalákání nic netušících uživatelů k odhalení citlivých informací. Podvod „American Express – Pokus o přihlášení byl zablokován“ je ukázkovým příkladem této taktiky. Tyto e-maily napodobují bezpečnostní upozornění od společnosti American Express, tvrdí, že byl zablokován podezřelý pokus o přihlášení, a naléhají na příjemce, aby...

Nejvíce shlédnuto

Načítání...