Monen lisenssin alennustarjous
Uhatietokanta Advanced Persistent Threat (APT) Jingle Thief -kyberrikollisuusryhmä

Jingle Thief -kyberrikollisuusryhmä

Vuonna Mezo vuonna Advanced Persistent Threat (APT)
Käännä:

Jingle Thief on taloudellisesti motivoitunut kyberrikollisrypäs, jota tutkijat ovat seuranneet sen kohdennettujen ja hiljaisten hyökkäysten vuoksi lahjakortteja myöntävien organisaatioiden käyttämiin pilviympäristöihin. Koska lahjakortteja voi lunastaa vähäisillä henkilötiedoilla ja ne on helppo myydä edelleen, heikentävät myöntämisprosessit mahdollistavat nopeat ja vaikeasti jäljitettävät kotiutukset. Ryhmän toiminnalle on ominaista pitkä viipymäaika, huolellinen tiedustelu ja identiteetin väärinkäytön suosiminen perinteisiin haittaohjelmiin verrattuna – yhdistelmä, joka vaikeuttaa havaitsemista ja reagointia.

Keitä he ovat ja mitä tutkijat heitä kutsuvat

Tietoturva-analyytikot luokittelevat tämän toimintaryppään CL‑CRI‑1032. Tämä luokitus jakautuu rikollisen motiivin (CRI) ohjaamaksi klusteriksi (”CL”). Kohtalaisen varmuudella tehdyt attribuutioarvioinnit yhdistävät toiminnan Atlas Lion- ja Storm‑0539-nimisiin rikollisryhmiin, joiden uskotaan toimivan Marokosta käsin ja olleen aktiivisia ainakin vuoden 2021 lopusta lähtien. Lempinimi ”Jingle Thief” heijastaa ryhmän tapaa iskeä loma-aikoina, kun lahjakorttien kysyntä ja korttien liikkeeseenlaskijoiden paine kasvavat.

Ensisijaiset tavoitteet ja uhriprofiili

Jingle Thief keskittyy vähittäiskaupan ja kuluttajapalveluiden organisaatioihin, jotka hallinnoivat lahjakorttien myöntämistä pilvialustoilla. Heidän päämääränsä on yksinkertainen: hankkia tarvittavat käyttöoikeudet arvokkaiden lahjakorttien myöntämiseen ja sitten rahoittaa nämä kortit (yleensä jälleenmyynnin kautta harmailla markkinoilla). He priorisoivat käyttöoikeuksia, jotka mahdollistavat heille laajamittaisen myöntämisen jättäen mahdollisimman vähän rikosrekisterijälkeä.

Taktiikat, tekniikat ja menettelytavat (TTP)

Räätälöityjen haittaohjelmien kehittämisen sijaan Jingle Thief luottaa sosiaaliseen manipulointiin ja pilvi-identiteetin väärinkäyttöön:

  • Tunnistetietojen varastaminen: Ryhmä käyttää räätälöityjä tietojenkalastelu- ja huijauskampanjoita Microsoft 365 -tunnistetietojen varastamiseen. Viestit räätälöidään alustavan tiedustelun jälkeen erittäin tarkasti, usein jäljitellen IT-ilmoituksia tai tukipyyntöjen päivityksiä klikkausten ja tunnistetietojen lähetysasteen lisäämiseksi.
  • Identiteetin väärinkäyttö ja henkilöllisyyden anastus: Kun tunnistetiedot on kaapattu, hyökkääjät kirjautuvat sisään ja esiintyvät laillisina käyttäjinä päästäkseen käsiksi myöntämissovelluksiin ja arkaluontoisiin asiakirjoihin. He välttävät tarkoituksella meluisia päätepisteiden hyökkäyksiä ja suosivat sen sijaan pilvinatiivia tilien väärinkäyttöä.
  • Tiedustelu ja horisontaalinen siirtyminen: Ensimmäisen käyttöoikeuden jälkeen he kartoittavat pilviympäristön – tutkivat SharePointia, OneDrivea, VPN-oppaita, laskentataulukoita ja lahjakorttien myöntämiseen tai seurantaan käytettyjä sisäisiä työnkulkuja – ja sitten eskaloivat käyttöoikeuksia ja siirtyvät horisontaalisesti pilvitilien ja -palveluiden välillä.

Pysyvyys ja MFA:n ohitusstrategiat

Jingle Thief ylläpitää pitkäaikaisia jalansijaa (kuukausista yli vuoteen). Havaittuja pysyvyystekniikoita ovat saapuneiden postilaatikon edelleenlähetyssääntöjen luominen, lähetettyjen tietojenkalasteluviestien välitön siirtäminen Poistettuihin kohteisiin jälkien piilottamiseksi, haitallisten todennussovellusten rekisteröiminen ja hyökkääjälaitteiden rekisteröinti Entra ID:hen. Näiden toimien avulla ryhmä selviää salasanan nollauksista ja tunnusten peruutuksista ja voi palauttaa käyttöoikeuden nopeasti.

Toimintamallit ja mittakaava

Tutkijat havaitsivat koordinoidun hyökkäysten aallon huhti-toukokuussa 2025, ja hyökkäykset kohdistuivat useisiin yrityksiin maailmanlaajuisesti. Yhdessä kampanjassa hyökkääjät säilyttivät käyttöoikeuden noin 10 kuukautta ja vaaransivat noin 60 käyttäjätiliä yhden uhrin ympäristössä. Heidän toimintansa kohdistuu usein suoraan lahjakorttien myöntämisportaaleihin ja myöntää kortteja useiden ohjelmien kautta yrittäen samalla minimoida lokien tallentamisen ja rikosteknisen metadatan.

Miksi lahjakorttipetokset ovat houkuttelevia

Lahjakortit ovat houkuttelevia huijareille, koska ne voidaan lunastaa tai myydä edelleen minimaalisilla tunnistetiedoilla, ja niiden myöntämisprosessia valvotaan usein vähemmän tiukasti kuin maksujärjestelmiä. Kun hyökkääjät saavat pilvipalvelun kautta pääsyn näihin prosesseihin, he voivat skaalata petoksia nopeasti jättäen puolustajille vähemmän ilmeisiä tarkastuspolkuja seurattavaksi.

Kompromissin indikaattorit

  • Selittämätön postilaatikkosääntöjen luominen tai automaattinen edelleenlähetys ulkoisiin osoitteisiin.
  • Uusia todennuslaitteiden rekisteröintejä tai odottamattomia laiterekisteröintejä Entra ID:hen.
  • Äkillinen suurten arvojen lahjakorttien myöntämisen lisääntyminen tai myöntäminen normaalin aukioloajan ulkopuolella.
  • Pääsy SharePoint/OneDrive-sijainteihin, joihin on tallennettu lahjakorttien työnkulkuja, laskentataulukoita tai VPN/IT-järjestelmänvalvojan oppaita.
  • Useita postilaatikkoon kirjautumisia eri maantieteellisistä sijainneista tai tuntemattomista IP-osoitteista, jotka eivät vastaa normaalia käyttäjäkäyttäytymistä.

Suositellut puolustusmekanismit

  • Ota käyttöön tietojenkalastelulta suojattu MFA (salasanat/FIDO2) ja estä heikot toissijaiset tekijät, jotka voidaan rekisteröidä etänä.
  • Vahvista identiteettihygieniaa: poista käytöstä vanha todennus, vaadi ehdollisen käyttöoikeuden käytäntöjä ja käytä etuoikeutettujen käyttöoikeuksien työasemia hallintaan.
  • Seuraa ja hälytä postilaatikon edelleenlähetyssääntöjä, uusia todennus-/laiterekisteröintejä ja lahjakorttien myöntämissovellusten poikkeavaa käyttöä.
  • Käytä lahjakorttien myöntämisjärjestelmiin mahdollisimman vähän käyttöoikeuksia ja erota lahjakorttien myöntämisen työnkulut yleisestä yrityspostista/tietovarastoista.

Loppuarviointi

Jingle Thiefin syvällisen tiedustelun, huolellisen tilien väärinkäytön, pitkien viipymäaikojen ja MFA:n ohitustekniikoiden yhdistelmä tekee siitä riskialttiimman hyökkääjän kaikille lahjakortteja myöntäville organisaatioille. Koska ryhmä hyödyntää pilvipohjaisia identiteetti- ja palveluominaisuuksia meluisten päätepistehyökkäysten sijaan, havaitseminen vaatii valppasta identiteetinvalvontaa, tiukkoja MFA-käytäntöjä ja suojaamaan myöntämisprosessia räätälöityjä suojaustoimenpiteitä. Näiden puolustustoimenpiteiden priorisointi vähentää hyökkääjien mahdollisuuksia hiljaa myöntää, lunastaa ja kadota.

Trendaavat

American Express - Kirjautumisyritys estettiin -huijaus

Tietojenkalastelu, Roskaposti
Kyberrikolliset usein hyödyntävät luotettavien tuotemerkkien tunnettuutta houkutellakseen tietämättömiä käyttäjiä paljastamaan arkaluonteisia tietoja. ”American Express - Kirjautumisyritys estettiin” -huijaus on tästä taktiikasta erinomainen esimerkki. Nämä sähköpostit jäljittelevät American Expressin tietoturvahälytyksiä väittäen, että epäilyttävä kirjautumisyritys estettiin, ja kehottaen...

Eniten katsottu

Ladataan...