گروه جرایم سایبری جینگل تیف

Jingle Thief یک گروه مجرمان سایبری با انگیزه مالی است که محققان به دلیل حملات هدفمند و کم‌سروصدای آن به محیط‌های ابری مورد استفاده سازمان‌های صادرکننده کارت هدیه، آن را ردیابی کرده‌اند. از آنجا که کارت‌های هدیه را می‌توان با داده‌های شخصی کمی بازخرید کرد و فروش مجدد آنها آسان است، گردش‌های کاری صدور کارت‌های هدیه، امکان برداشت سریع و دشوار از حساب را فراهم می‌کند. عملیات این گروه به دلیل زمان ماندگاری طولانی، شناسایی دقیق و ترجیح سوءاستفاده از هویت به جای بدافزارهای سنتی قابل توجه است - ترکیبی که تشخیص و پاسخ را پیچیده می‌کند.

آنها چه کسانی هستند و محققان آنها را چه می‌نامند؟

تحلیلگران امنیتی این خوشه فعالیت را CL-CRI-1032 نامگذاری کرده‌اند. این برچسب به یک خوشه ('CL') با انگیزه مجرمانه ('CRI') تقسیم می‌شود. ارزیابی‌های انتساب، که با اطمینان متوسط انجام شده است، این فعالیت را به گروه‌های مجرمانه‌ای که با نام‌های Atlas Lion و Storm-0539 ردیابی می‌شوند، مرتبط می‌داند که گمان می‌رود از مراکش فعالیت می‌کنند و حداقل از اواخر سال 2021 فعال بوده‌اند. لقب «دزد جینگل» نشان دهنده عادت این گروه به حمله در حوالی تعطیلات است که تقاضا برای کارت هدیه و فشار بر صادرکنندگان افزایش می‌یابد.

اهداف اولیه و مشخصات قربانی

جینگل تیف (Jingle Thief) بر سازمان‌های خرده‌فروشی و خدمات مصرفی تمرکز دارد که صدور کارت هدیه را در پلتفرم‌های ابری مدیریت می‌کنند. هدف نهایی آنها ساده است: دسترسی لازم برای صدور کارت‌های هدیه با ارزش بالا را به دست آورید، سپس از آن کارت‌ها (معمولاً از طریق فروش مجدد در بازارهای خاکستری) کسب درآمد کنید. آنها دسترسی را در اولویت قرار می‌دهند که به آنها امکان می‌دهد صدور را در مقیاس بزرگ انجام دهند و در عین حال حداقل ردپای قانونی را از خود به جا بگذارند.

تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTPها)

جینگل تیف به جای توسعه بدافزارهای سفارشی، به مهندسی اجتماعی و سوءاستفاده از هویت ابری متکی است:

• سرقت اعتبارنامه: این گروه از کمپین‌های فیشینگ و اسمیشینگ سفارشی برای جمع‌آوری اعتبارنامه‌های مایکروسافت ۳۶۵ استفاده می‌کند. پیام‌ها پس از شناسایی اولیه، به شدت سفارشی‌سازی می‌شوند و اغلب از اطلاعیه‌های فناوری اطلاعات یا به‌روزرسانی‌های تیکت تقلید می‌کنند تا نرخ کلیک و ارسال اعتبارنامه را افزایش دهند.
• سوءاستفاده از هویت و جعل هویت: پس از دریافت اعتبارنامه‌ها، مهاجمان وارد سیستم می‌شوند و خود را به جای کاربران قانونی جا می‌زنند تا به برنامه‌های صدور و اسناد حساس دسترسی پیدا کنند. آن‌ها عمداً از سوءاستفاده‌های پر سر و صدا از نقاط پایانی اجتناب می‌کنند و به سوءاستفاده از حساب‌های کاربری مبتنی بر ابر روی می‌آورند.
• شناسایی و حرکت جانبی: پس از دسترسی اولیه، آنها نقشه فضای ابری را ترسیم می‌کنند - راهنماهای SharePoint، OneDrive، VPN، صفحات گسترده و گردش‌های کاری داخلی مورد استفاده برای صدور یا پیگیری کارت‌های هدیه را بررسی می‌کنند - سپس امتیازات را افزایش داده و به صورت جانبی در حساب‌ها و سرویس‌های ابری حرکت می‌کنند.

استراتژی‌های پشتکار و دور زدن MFA

Jingle Thief جایگاه خود را به مدت طولانی (ماه‌ها تا بیش از یک سال) حفظ می‌کند. تکنیک‌های ماندگاری مشاهده شده شامل ایجاد قوانین ارسال به صندوق ورودی، انتقال فوری پیام‌های فیشینگ ارسالی به موارد حذف شده برای پنهان کردن ردپاها، ثبت برنامه‌های احراز هویت جعلی و ثبت دستگاه‌های مهاجم در Entra ID است. این اقدامات به این گروه اجازه می‌دهد تا از بازنشانی رمز عبور و ابطال توکن جان سالم به در ببرد و به سرعت دسترسی را برقرار کند.

الگوهای عملیاتی و مقیاس

محققان در آوریل-مه 2025 شاهد افزایش هماهنگ حملاتی بودند که چندین شرکت را در سراسر جهان هدف قرار داده بود. طبق گزارش‌ها، در یک کمپین، مهاجمان به مدت حدود 10 ماه دسترسی خود را حفظ کرده و تقریباً 60 حساب کاربری را در یک محیط قربانی به خطر انداختند. عملیات آنها اغلب مستقیماً پورتال‌های صدور کارت هدیه را هدف قرار می‌دهد و کارت‌ها را در چندین برنامه صادر می‌کند و در عین حال تلاش می‌کند تا ثبت وقایع و ابرداده‌های قانونی را به حداقل برساند.

چرا کلاهبرداری با کارت هدیه جذاب است؟

کارت‌های هدیه برای کلاهبرداران جذاب هستند زیرا می‌توان آنها را با حداقل داده‌های شناسایی بازخرید یا دوباره فروخت و گردش کار صدور آنها اغلب کمتر از سیستم‌های پرداخت مالی تحت نظارت است. وقتی مهاجمان به این گردش‌های کاری دسترسی ابری پیدا می‌کنند، می‌توانند به سرعت کلاهبرداری را گسترش دهند و در عین حال ردپای حسابرسی کمتری برای مدافعان باقی بگذارند.

شاخص‌های سازش

• ایجاد بی‌دلیل قوانین صندوق ورودی یا ارسال خودکار به آدرس‌های خارجی.
• ثبت نام‌های جدید احراز هویت یا ثبت نام‌های غیرمنتظره دستگاه در Entra ID.
• افزایش ناگهانی در صدور کارت هدیه با ارزش بالا یا صدور آن در خارج از ساعات کاری معمول.
• دسترسی به مکان‌های SharePoint/OneDrive که گردش‌های کاری کارت هدیه، صفحات گسترده یا راهنماهای مدیریت VPN/IT را ذخیره می‌کنند.
• ورودهای چندگانه به صندوق پستی از موقعیت‌های جغرافیایی مختلف یا IPهای ناشناخته که با رفتار عادی کاربر مطابقت ندارند.

کنترل‌های دفاعی توصیه‌شده

• احراز هویت چندعاملی مقاوم در برابر فیشینگ (رمز عبور/FIDO2) را اعمال کنید و عوامل ثانویه ضعیفی را که می‌توانند از راه دور ثبت شوند، مسدود کنید.
• تقویت بهداشت هویت: احراز هویت قدیمی را غیرفعال کنید، سیاست‌های دسترسی مشروط را الزامی کنید و از ایستگاه‌های کاری با دسترسی ممتاز برای مدیریت استفاده کنید.
• نظارت و هشدار در مورد قوانین ارسال ایمیل، ثبت‌نام‌های جدید احراز هویت/دستگاه و دسترسی غیرعادی به برنامه‌های صدور کارت هدیه.

ارزیابی پایانی

ترکیب شناسایی عمیق، سوءاستفاده دقیق از حساب، زمان ماندگاری طولانی و تکنیک‌های دور زدن MFA توسط Jingle Thief، آن را به یک دشمن پرخطر برای هر سازمانی که کارت هدیه صادر می‌کند، تبدیل می‌کند. از آنجا که این گروه به جای سوءاستفاده‌های پر سر و صدا از نقاط پایانی، از هویت ابری و ویژگی‌های سرویس استفاده می‌کند، شناسایی آن نیاز به نظارت دقیق بر هویت، سیاست‌های سختگیرانه MFA و کنترل‌های متناسب با محافظت از گردش کار صدور دارد. اولویت‌بندی این اقدامات دفاعی، فرصت مهاجمان را برای صدور بی‌سروصدا، نقد کردن و ناپدید شدن کاهش می‌دهد.