Jingle Thief Cyberkriminalitetsgruppe
Jingle Thief er en økonomisk motiveret cyberkriminel klynge, som forskere har fulgt på grund af dens målrettede, støjsvage angreb på cloud-miljøer, der bruges af organisationer, der udsteder gavekort. Fordi gavekort kan indløses med få personlige data og er nemme at videresælge, giver kompromitterende udstedelsesworkflows hurtige, svært sporbare udbetalinger. Gruppens operationer er kendt for lange opholdstider, omhyggelig rekognoscering og en præference for identitetsmisbrug frem for traditionel malware - en kombination, der komplicerer detektion og reaktion.
Indholdsfortegnelse
Hvem de er, og hvad forskere kalder dem
Sikkerhedsanalytikere betegner denne aktivitetsklynge som CL-CRI-1032. Betegnelsen opdeles som en klynge ('CL') drevet af kriminel motivation ('CRI'). Attributionsvurderinger, foretaget med moderat sikkerhed, forbinder aktiviteten med kriminelle grupper sporet som Atlas Lion og Storm-0539, der menes at operere fra Marokko og være aktive siden mindst slutningen af 2021. Kælenavnet 'Jingle Thief' afspejler gruppens vane med at slå til omkring ferieperioder, når efterspørgslen efter gavekort og presset fra udstedere stiger.
Primære mål og offerprofil
Jingle Thief fokuserer på detail- og forbrugerserviceorganisationer, der administrerer udstedelse af gavekort på cloudplatforme. Deres slutmål er ligetil: at opnå den nødvendige adgang til at udstede gavekort af høj værdi, og derefter tjene penge på disse kort (typisk via videresalg på grå markeder). De prioriterer adgang, der giver dem mulighed for at udføre udstedelse i stor skala, samtidig med at de efterlader et minimalt retsmedicinsk spor.
Taktik, teknikker og procedurer (TTP’er)
I stedet for at udvikle skræddersyet malware, bruger Jingle Thief social engineering og misbrug af cloudidentiteter:
- Tyveri af legitimationsoplysninger: Gruppen bruger skræddersyede phishing- og smishing-kampagner til at indsamle Microsoft 365-legitimationsoplysninger. Beskeder er meget tilpassede efter indledende rekognoscering og efterligner ofte IT-meddelelser eller supportopdateringer for at øge klik- og indsendelsesraterne for legitimationsoplysninger.
- Misbrug af identitet og efterligning: Når legitimationsoplysninger er registreret, logger angriberne ind og udgiver sig for at være legitime brugere for at få adgang til udstedelsesapps og følsom dokumentation. De undgår bevidst støjende endpoint-udnyttelser til fordel for misbrug af cloud-native konti.
- Rekognoscering og lateral bevægelse: Efter den første adgang kortlægger de cloud-området – udforsker SharePoint, OneDrive, VPN-vejledninger, regneark og interne arbejdsgange, der bruges til at udstede eller spore gavekort – og eskalerer derefter privilegier og bevæger sig lateralt på tværs af cloud-konti og -tjenester.
Persistens og MFA-bypassstrategier
Jingle Thief har haft langtidsholdbare resultater (måneder til mere end et år). Observerede vedholdenhedsteknikker omfatter oprettelse af regler for videresendelse af indbakke, øjeblikkelig flytning af sendte phishing-beskeder til Slettet post for at skjule spor, registrering af uønskede godkendelsesapps og tilmelding af angriberenheder i Entra ID. Disse handlinger gør det muligt for gruppen at overleve nulstilling af adgangskode og tilbagekaldelse af tokens og hurtigt at genetablere adgang.
Operationelle mønstre og skala
Forskere observerede en koordineret bølge af angreb i april-maj 2025, der var rettet mod flere virksomheder verden over. I én kampagne beholdt angriberne angiveligt adgangen i ~10 måneder og kompromitterede omkring 60 brugerkonti i et enkelt offermiljø. Deres operationer er ofte rettet direkte mod gavekortudstedelsesportaler og udsteder kort på tværs af flere programmer, samtidig med at de forsøger at minimere logføring og retsmedicinske metadata.
Hvorfor gavekortsvindel er attraktivt
Gavekort er attraktive for svindlere, fordi de kan indløses eller videresælges med minimale identificerende data, og deres udstedelsesworkflows overvåges ofte mindre stramt end finansielle betalingssystemer. Når angribere får cloud-adgang til disse workflows, kan de skalere svindel hurtigt, mens de efterlader mindre åbenlyse revisionsspor, som forsvarere kan følge.
Indikatorer for kompromis
- Uforklarlig oprettelse af indbakkeregler eller automatisk videresendelse til eksterne adresser.
- Nye godkendelsesregistreringer eller uventede enhedsregistreringer i Entra ID.
- Pludselige stigninger i udstedelse af gavekort af høj værdi eller udstedelse uden for normal åbningstid.
- Adgang til SharePoint/OneDrive-placeringer, der gemmer gavekort-arbejdsgange, regneark eller VPN/IT-administratorvejledninger.
- Flere postkasselogin fra forskellige geoplaceringer eller ukendte IP-adresser, der ikke stemmer overens med normal brugeradfærd.
Anbefalede defensive kontroller
- Håndhæv phishing-resistent MFA (adgangsnøgler/FIDO2) og bloker svage sekundære faktorer, der kan registreres eksternt.
- Styrk identitetshygiejne: deaktiver ældre godkendelse, kræv politikker for betinget adgang, og brug arbejdsstationer med privilegeret adgang til administration.
- Overvåg og advar om regler for videresendelse af postkasser, nye tilmeldinger af godkendelses-/enhedsfunktioner og unormal adgang til applikationer til udstedelse af gavekort.
- Anvend færrest rettigheder til udstedelsessystemer og adskil arbejdsgange for udstedelse af gavekort fra generelle forretningspost-/datalagre.
Afsluttende vurdering
Jingle Thiefs kombination af dybdegående rekognoscering, omhyggelig misbrug af konti, lange opholdstider og MFA-bypass-teknikker gør den til en højrisikomodstander for enhver organisation, der udsteder gavekort. Fordi gruppen udnytter cloudidentitet og servicefunktioner i stedet for støjende endpoint-exploits, kræver detektion årvågen identitetsovervågning, strenge MFA-politikker og kontroller, der er skræddersyet til at beskytte udstedelsesarbejdsgange. Prioritering af disse defensive foranstaltninger reducerer muligheden for, at angribere i stilhed kan udstede, hæve og forsvinde.
