Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Προηγμένη επίμονη απειλή (APT) Ομάδα Κυβερνοεγκλήματος Jingle Thief

Ομάδα Κυβερνοεγκλήματος Jingle Thief

Μέχρι το Mezo το Προηγμένη επίμονη απειλή (APT)
Μετάφραση σε:

Το Jingle Thief είναι μια ομάδα κυβερνοεγκληματιών με οικονομικά κίνητρα, την οποία οι ερευνητές παρακολουθούν λόγω των στοχευμένων, χαμηλού θορύβου επιθέσεών της σε περιβάλλοντα cloud που χρησιμοποιούνται από οργανισμούς που εκδίδουν δωροκάρτες. Επειδή οι δωροκάρτες μπορούν να εξαργυρωθούν με λίγα προσωπικά δεδομένα και είναι εύκολο να μεταπωληθούν, η παραβίαση των ροών εργασίας έκδοσης παρέχει γρήγορες και δύσκολο να εντοπιστούν εξαργυρώσεις. Οι δραστηριότητες της ομάδας χαρακτηρίζονται από μεγάλους χρόνους παραμονής, προσεκτική αναγνώριση και προτίμηση για κακή χρήση ταυτότητας έναντι του παραδοσιακού κακόβουλου λογισμικού — ένας συνδυασμός που περιπλέκει την ανίχνευση και την αντιμετώπιση.

Ποιοι είναι και πώς τους αποκαλούν οι ερευνητές

Οι αναλυτές ασφαλείας χαρακτηρίζουν αυτήν την ομάδα δραστηριοτήτων CL‑CRI‑1032. Η ετικέτα αναλύεται ως ομάδα («CL») που καθοδηγείται από εγκληματικά κίνητρα («CRI»). Οι αξιολογήσεις απόδοσης, που γίνονται με μέτρια βεβαιότητα, συνδέουν τη δραστηριότητα με εγκληματικές ομάδες που παρακολουθούνται ως Atlas Lion και Storm‑0539, οι οποίες πιστεύεται ότι λειτουργούν από το Μαρόκο και δραστηριοποιούνται τουλάχιστον από τα τέλη του 2021. Το ψευδώνυμο «Jingle Thief» αντικατοπτρίζει τη συνήθεια της ομάδας να επιτίθεται κατά τις περιόδους των διακοπών, όταν αυξάνεται η ζήτηση για δωροκάρτες και η πίεση στον εκδότη.

Πρωταρχικοί Στόχοι και Προφίλ Θύματος

Η Jingle Thief επικεντρώνεται σε οργανισμούς λιανικής πώλησης και καταναλωτικών υπηρεσιών που διαχειρίζονται την έκδοση δωροκαρτών σε πλατφόρμες cloud. Ο τελικός στόχος τους είναι απλός: να αποκτήσουν την πρόσβαση που απαιτείται για την έκδοση δωροκαρτών υψηλής αξίας και στη συνέχεια να δημιουργήσουν έσοδα από αυτές τις κάρτες (συνήθως μέσω μεταπώλησης σε γκρίζες αγορές). Δίνουν προτεραιότητα στην πρόσβαση που τους επιτρέπει να εκτελούν εκδόσεις σε μεγάλη κλίμακα, αφήνοντας παράλληλα ένα ελάχιστο ίχνος εγκληματολογικής έρευνας.

Τακτικές, Τεχνικές και Διαδικασίες (TTPs)

Αντί να αναπτύσσει κατά παραγγελία κακόβουλο λογισμικό, το Jingle Thief βασίζεται στην κοινωνική μηχανική και την κατάχρηση ταυτότητας cloud:

  • Κλοπή διαπιστευτηρίων: Η ομάδα χρησιμοποιεί προσαρμοσμένες καμπάνιες ηλεκτρονικού "ψαρέματος" (phishing) και απάτης (smishing) για να συλλέξει διαπιστευτήρια του Microsoft 365. Τα μηνύματα προσαρμόζονται σε μεγάλο βαθμό μετά από προκαταρκτική αναγνώριση, συχνά μιμούμενα ειδοποιήσεις IT ή ενημερώσεις αιτημάτων για την αύξηση των ποσοστών κλικ και υποβολής διαπιστευτηρίων.
  • Κακή χρήση ταυτότητας και πλαστοπροσωπία: Μόλις καταγραφούν τα διαπιστευτήρια, οι εισβολείς συνδέονται και πλαστογραφούν νόμιμους χρήστες για να αποκτήσουν πρόσβαση σε εφαρμογές έκδοσης και ευαίσθητα έγγραφα. Αποφεύγουν σκόπιμα τα θορυβώδη exploits των τελικών σημείων υπέρ της κατάχρησης λογαριασμών που βασίζονται στο cloud.
  • Αναγνώριση και πλευρική μετακίνηση: Μετά την αρχική πρόσβαση, χαρτογραφούν την περιοχή cloud — εξερευνώντας το SharePoint, το OneDrive, τους οδηγούς VPN, τα υπολογιστικά φύλλα και τις εσωτερικές ροές εργασίας που χρησιμοποιούνται για την έκδοση ή την παρακολούθηση δωροκαρτών — στη συνέχεια κλιμακώνουν τα προνόμια και μετακινούνται πλευρικά σε λογαριασμούς και υπηρεσίες cloud.

Στρατηγικές Επιμονής και Παράκαμψης MFA

Το Jingle Thief διατηρεί μακροπρόθεσμα ερείσματα (από μήνες έως περισσότερο από ένα χρόνο). Οι παρατηρούμενες τεχνικές επιμονής περιλαμβάνουν τη δημιουργία κανόνων προώθησης εισερχομένων, την άμεση μετακίνηση απεσταλμένων μηνυμάτων ηλεκτρονικού "ψαρέματος" (phishing) στα Διαγραμμένα για την απόκρυψη ιχνών, την καταγραφή παραπλανητικών εφαρμογών ελέγχου ταυτότητας και την καταγραφή συσκευών εισβολέα στο Entra ID. Αυτές οι ενέργειες επιτρέπουν στην ομάδα να επιβιώσει από επαναφορές κωδικών πρόσβασης και ανακλήσεις διακριτικών και να αποκαταστήσει γρήγορα την πρόσβαση.

Λειτουργικά Πρότυπα και Κλίμακα

Οι ερευνητές παρατήρησαν μια συντονισμένη αύξηση επιθέσεων τον Απρίλιο-Μάιο του 2025 που στόχευσαν πολλές επιχειρήσεις παγκοσμίως. Σε μια εκστρατεία, οι εισβολείς φέρεται να διατήρησαν την πρόσβαση για ~10 μήνες και παραβίασαν περίπου 60 λογαριασμούς χρηστών σε ένα μόνο περιβάλλον θύματος. Οι δραστηριότητές τους συχνά στοχεύουν απευθείας σε πύλες έκδοσης δωροκαρτών, εκδίδοντας κάρτες σε πολλά προγράμματα, ενώ παράλληλα προσπαθούν να ελαχιστοποιήσουν την καταγραφή και τα μεταδεδομένα εγκληματολογικής ανάλυσης.

Γιατί η απάτη με δωροκάρτες είναι ελκυστική

Οι δωροκάρτες είναι ελκυστικές για τους απατεώνες επειδή μπορούν να εξαργυρωθούν ή να μεταπωληθούν με ελάχιστα στοιχεία ταυτοποίησης και οι ροές εργασίας έκδοσής τους συχνά παρακολουθούνται λιγότερο αυστηρά από τα συστήματα χρηματοοικονομικών πληρωμών. Όταν οι εισβολείς αποκτούν πρόσβαση στο cloud σε αυτές τις ροές εργασίας, μπορούν να κλιμακώσουν γρήγορα την απάτη, αφήνοντας λιγότερο εμφανή ίχνη ελέγχου για τους υπερασπιστές.

Δείκτες Συμβιβασμού

  • Ανεξήγητη δημιουργία κανόνων εισερχομένων ή αυτόματη προώθηση σε εξωτερικές διευθύνσεις.
  • Νέες εγγραφές ελεγκτή ταυτότητας ή μη αναμενόμενες εγγραφές συσκευών στο Entra ID.
  • Ξαφνικές αυξήσεις στην έκδοση δωροκαρτών υψηλής αξίας ή στην έκδοση εκτός του κανονικού ωραρίου λειτουργίας.
  • Πρόσβαση σε τοποθεσίες SharePoint/OneDrive που αποθηκεύουν ροές εργασίας δωροκάρτας, υπολογιστικά φύλλα ή οδηγούς διαχείρισης VPN/IT.
  • Πολλαπλές συνδέσεις σε γραμματοκιβώτια από διαφορετικές γεωγραφικές τοποθεσίες ή άγνωστες διευθύνσεις IP που δεν αντιστοιχούν στη συνήθη συμπεριφορά των χρηστών.

Προτεινόμενοι αμυντικοί έλεγχοι

  • Επιβολή MFA (κωδικοί πρόσβασης/FIDO2) ανθεκτικής στο ηλεκτρονικό ψάρεμα (phishing) και αποκλεισμός ασθενών δευτερογενών παραγόντων που μπορούν να καταχωρηθούν εξ αποστάσεως.
  • Ενίσχυση της υγιεινής ταυτότητας: απενεργοποίηση του παλαιού ελέγχου ταυτότητας, απαίτηση πολιτικών πρόσβασης υπό όρους και χρήση σταθμών εργασίας με προνομιακή πρόσβαση για διαχείριση.
  • Παρακολουθήστε και ειδοποιήστε για κανόνες προώθησης γραμματοκιβωτίων, νέες εγγραφές ελέγχου ταυτότητας/συσκευών και ανώμαλη πρόσβαση σε εφαρμογές έκδοσης δωροκάρτας.
  • Εφαρμόστε τα ελάχιστα προνόμια στα συστήματα έκδοσης και διαχωρίστε τις ροές εργασίας έκδοσης δωροκαρτών από τις γενικές αποθήκες αλληλογραφίας/δεδομένων της επιχείρησης.

    • Τελική Αξιολόγηση

    Ο συνδυασμός της εις βάθος αναγνώρισης, της προσεκτικής κακής χρήσης λογαριασμών, των μεγάλων χρόνων παραμονής και των τεχνικών παράκαμψης MFA από την Jingle Thief την καθιστά έναν αντίπαλο υψηλού κινδύνου για κάθε οργανισμό που εκδίδει δωροκάρτες. Επειδή η ομάδα αξιοποιεί χαρακτηριστικά ταυτότητας και υπηρεσιών cloud αντί για θορυβώδη exploits endpoint, η ανίχνευση απαιτεί επαγρύπνηση στην παρακολούθηση ταυτότητας, αυστηρές πολιτικές MFA και ελέγχους προσαρμοσμένους για την προστασία των ροών εργασίας έκδοσης. Η ιεράρχηση αυτών των αμυντικών μέτρων μειώνει την ευκαιρία για τους εισβολείς να εκδίδουν, να εξαργυρώνουν και να εξαφανίζονται αθόρυβα.

    Τάσεις

    American Express - Απάτη που Αποκλείστηκε από την...

    Phishing, Ανεπιθύμητη αλληλογραφία
    Οι κυβερνοεγκληματίες συχνά εκμεταλλεύονται την εξοικείωση με αξιόπιστες μάρκες για να παρασύρουν ανυποψίαστους χρήστες να αποκαλύψουν ευαίσθητες πληροφορίες. Η απάτη «American Express - Η προσπάθεια σύνδεσης αποκλείστηκε» είναι ένα χαρακτηριστικό παράδειγμα αυτής της τακτικής. Αυτά τα email μιμούνται ειδοποιήσεις ασφαλείας από την American Express, ισχυριζόμενοι ότι μια ύποπτη προσπάθεια...

    Περισσότερες εμφανίσεις

    Κακόβουλο λογισμικό

    Phishing, Ανεπιθύμητη αλληλογραφία
    33,390
    Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
    Φόρτωση...