Jingle Thief küberkuritegevuse rühmitus
Jingle Thief on rahaliselt motiveeritud küberkurjategijate klaster, mida teadlased on jälginud tänu sihipärastele ja vähese müraga rünnakutele pilvekeskkondadele, mida kasutavad kinkekaarte väljastavad organisatsioonid. Kuna kinkekaarte saab lunastada väheste isikuandmetega ja neid on lihtne edasi müüa, pakuvad kompromiteerivad väljastamisprotsessid kiireid ja raskesti jälgitavaid väljamakseid. Grupi tegevust iseloomustab pikk viibimisaeg, hoolikas luure ja identiteedi väärkasutamise eelistamine traditsioonilisele pahavarale – kombinatsioon, mis raskendab avastamist ja reageerimist.
Sisukord
Kes nad on ja kuidas teadlased neid nimetavad
Turvaanalüütikud nimetavad seda tegevust klastriks CL-CRI-1032. See märgis jaguneb klastriks („CL“), mida juhib kuritegelik motivatsioon („CRI“). Mõõduka kindlusega omistamishinnangud seovad tegevuse kuritegelike rühmitustega, mida jälgitakse nimede Atlas Lion ja Storm-0539 all, mis arvatavasti tegutsevad Marokost ja on aktiivsed vähemalt 2021. aasta lõpust. Hüüdnimi „Jingle Thief“ peegeldab rühmituse harjumust streikida pühade ajal, kui kinkekaartide nõudlus ja väljastajate surve suurenevad.
Peamised eesmärgid ja ohvri profiil
Jingle Thief keskendub jaemüügi- ja tarbijateenuste organisatsioonidele, mis haldavad kinkekaartide väljastamist pilveplatvormidel. Nende eesmärk on lihtne: hankida juurdepääs, mis on vajalik suure väärtusega kinkekaartide väljastamiseks, ja seejärel nende kaartide monetiseerimine (tavaliselt edasimüügi kaudu hallidel turgudel). Nad seavad esikohale juurdepääsu, mis võimaldab neil kaarte ulatuslikult väljastada, jättes samal ajal minimaalse kohtuekspertiisi jälje.
Taktikad, tehnikad ja protseduurid (TTP-d)
Kohandatud pahavara arendamise asemel tugineb Jingle Thief sotsiaalsele manipuleerimisele ja pilveidentiteedi kuritarvitamisele:
- Volituste vargus: rühmitus kasutab Microsoft 365 volituste varastamiseks kohandatud andmepüügi- ja pettuskampaaniaid. Pärast esialgset luuret kohandatakse sõnumeid hoolikalt, sageli jäljendades IT-teateid või piletite värskendusi, et suurendada klikkimise ja volituste esitamise määra.
- Identiteedi väärkasutamine ja isikuandmete võltsimine: Kui volitused on hõivatud, logivad ründajad sisse ja teesklevad end õigustatud kasutajatena, et pääseda juurde väljastusrakendustele ja tundlikule dokumentatsioonile. Nad väldivad teadlikult lärmakaid lõpp-punkti ärakasutamisvõimalusi, eelistades pilvepõhist kontode kuritarvitamist.
- Tutvumine ja horisontaalne liikumine: Pärast esmast juurdepääsu kaardistavad nad pilvevara – uurides SharePointi, OneDrive'i, VPN-i juhendeid, arvutustabeleid ja sisemisi töövooge, mida kasutatakse kinkekaartide väljastamiseks või jälgimiseks – seejärel laiendavad õigusi ja liiguvad horisontaalselt pilvekontode ja -teenuste vahel.
Püsivus ja MFA möödaviigu strateegiad
Jingle Thief säilitab pikaajalised tugipunktid (kuudest kuni enam kui aastani). Täheldatud püsivustehnikate hulka kuuluvad postkasti edasisuunamisreeglite loomine, saadetud andmepüügisõnumite kohene teisaldamine kustutatud üksuste kausta jälgede peitmiseks, petturlike autentimisrakenduste registreerimine ja ründajate seadmete registreerimine Entra ID-sse. Need toimingud võimaldavad rühmal paroolide lähtestamise ja tokeni tühistamise üle elada ning juurdepääsu kiiresti taastada.
Tegevusmustrid ja ulatus
Teadlased täheldasid 2025. aasta aprillis-mais koordineeritud rünnakute lainet, mis oli suunatud mitmele ettevõttele üle maailma. Ühes kampaanias säilitasid ründajad väidetavalt juurdepääsu umbes 10 kuud ja rikkusid ühes ohvrikeskkonnas umbes 60 kasutajakontot. Nende tegevuse sihtmärgiks on sageli otse kinkekaartide väljastamise portaalid, väljastades kaarte mitme programmi kaudu, püüdes samal ajal minimeerida logimist ja kohtuekspertiisi metaandmeid.
Miks on kinkekaardipettused ahvatlevad?
Kinkekaardid on petturitele atraktiivsed, kuna neid saab lunastada või edasi müüa minimaalsete identifitseerimisandmetega ning nende väljastamise töövooge jälgitakse sageli vähem rangelt kui finantsmaksete süsteeme. Kui ründajad saavad pilvepõhise juurdepääsu nendele töövoogudele, saavad nad pettusi kiiresti skaleerida, jättes kaitsjatele vähem ilmseid auditeerimisjälgi.
Kompromissi näitajad
- Seletamatu postkasti reeglite loomine või automaatne edastamine välistele aadressidele.
- Uued autentimisseadmete registreerimised või ootamatud seadmete registreerimised Entra ID-s.
- Suure väärtusega kinkekaartide väljastamise järsk suurenemine või väljastamine väljaspool tavapärast tööaega.
- Juurdepääs SharePointi/OneDrive'i asukohtadele, kus talletatakse kinkekaartide töövooge, arvutustabeleid või VPN-i/IT-administraatori juhendeid.
- Mitmed postkasti sisselogimised erinevatest geograafilistest asukohtadest või tundmatutest IP-aadressidest, mis ei vasta tavapärasele kasutajakäitumisele.
Soovitatavad kaitsemeetmed
- Jõustage andmepüügikindel MFA (pääsukoodid/FIDO2) ja blokeerige nõrgad teisejärgulised tegurid, mida saab kaugregistreerida.
- Tugevdage identiteedihügieeni: keelake pärandautentimine, nõudke tingimusjuurdepääsu poliitikaid ja kasutage administreerimiseks privilegeeritud juurdepääsuga tööjaamu.
- Jälgige ja andke märku postkasti edasisuunamisreeglite, uute autentimis-/seadme registreerimiste ja kinkekaartide väljastamise rakenduste anomaalse juurdepääsu kohta.
- Rakendage väljastussüsteemidele minimaalseid õigusi ja eraldage kinkekaartide väljastamise töövood üldisest ärikirjandusest/andmehoidlatest.
Lõpphindamine
Jingle Thiefi süvaluure, hoolika kontode väärkasutamise, pikkade ooteaegade ja MFA möödahiilimise tehnikate kombinatsioon muudab selle kõrge riskiga vastase igale organisatsioonile, mis väljastab kinkekaarte. Kuna rühmitus kasutab pilvepõhiseid identiteedi ja teenuste funktsioone, mitte lärmakaid lõpp-punkti ärakasutamisvõimalusi, nõuab tuvastamine valvsat identiteedi jälgimist, rangeid MFA-poliitikaid ja kontrollimeetmeid, mis on kohandatud väljastamise töövoogude kaitsmiseks. Nende kaitsemeetmete prioriseerimine vähendab ründajate võimalust vaikselt kaarte väljastada, rahaks teha ja kaduda.
