הצעת הנחה מרובה רישיונות
מסד נתונים של איומים איום מתמשך מתקדם (APT) קבוצת פשעי סייבר של ג'ינגל גניב

קבוצת פשעי סייבר של ג'ינגל גניב

עד Mezo ב-איום מתמשך מתקדם (APT)
לתרגם ל:

Jingle Thief הוא אשכול פושעי סייבר בעל מוטיבציה כלכלית, שחוקרים עקבו אחריו בזכות התקפותיו הממוקדות והרעשיות על סביבות ענן בהן משתמשים ארגונים המנפיקים כרטיסי מתנה. מכיוון שניתן לממש כרטיסי מתנה עם מעט נתונים אישיים וקלים למכירה חוזרת, פגיעה בתהליכי עבודה של הנפקה מספקת משיכות מזומנים מהירות וקשה למעקב. פעילות הקבוצה בולטת בזמני השהייה ארוכים, סיור זהיר והעדפה לניצול לרעה של זהות על פני תוכנות זדוניות מסורתיות - שילוב שמסבך את הגילוי והתגובה.

מי הם ואיך חוקרים קוראים להם

אנליסטים ביטחוניים מכנים אשכול פעילות זה CL-CRI-1032. התווית מתחלקת כאשכול ('CL') המונע על ידי מוטיבציה פלילית ('CRI'). הערכות ייחוס, שבוצעו ברמת ביטחון בינונית, מקשרות את הפעילות לקבוצות פשע שעוקבות אחריהם Atlas Lion ו-Storm-0539, שנחשבות לפעולות ממרוקו ופעילות לפחות מאז סוף 2021. הכינוי 'Jingle Thief' משקף את הרגל הקבוצה לתקוף סביב תקופות חגים, כאשר הביקוש לכרטיסי מתנה ולחץ על מנפיקי כרטיסי מתנה עולים.

מטרות עיקריות ופרופיל קורבן

Jingle Thief מתמקדת בארגונים קמעונאיים ושירותי צריכה המנהלים הנפקת כרטיסי מתנה בפלטפורמות ענן. המטרה הסופית שלהם פשוטה: להשיג את הגישה הדרושה להנפקת כרטיסי מתנה בעלי ערך גבוה, ולאחר מכן להפיק רווחים מהכרטיסים הללו (בדרך כלל באמצעות מכירה חוזרת בשווקים אפורים). הם נותנים עדיפות לגישה המאפשרת להם לבצע הנפקה בקנה מידה גדול תוך השארת עקבות מינימליים של זיהוי פלילי.

טקטיקות, טכניקות ונהלים (TTPs)

במקום לפתח תוכנות זדוניות בהתאמה אישית, Jingle Thief מסתמך על הנדסה חברתית וניצול לרעה של זהויות ענן:

  • גניבת אישורים: הקבוצה משתמשת בקמפיינים מותאמים אישית של פישינג ו-Smishing כדי לאסוף אישורים של Microsoft 365. הודעות מותאמות אישית מאוד לאחר סיור מקדים, ולעתים קרובות מחקות הודעות IT או עדכוני כרטיסים כדי להגדיל את שיעורי הקליקים והגשת אישורים.
  • ניצול לרעה של זהות והתחזות: לאחר לכידת האישורים, התוקפים מתחברים ומתחזים למשתמשים לגיטימיים כדי לגשת לאפליקציות הנפקה ולתיעוד רגיש. הם נמנעים במכוון מניצול לרעה של נקודות קצה לטובת ניצול לרעה של חשבונות בענן.
  • סיור ותנועה רוחבית: לאחר הגישה הראשונית, הם ממפים את שטח הענן - בוחנים SharePoint, OneDrive, מדריכי VPN, גיליונות אלקטרוניים וזרימות עבודה פנימיות המשמשות להנפקה או מעקב אחר כרטיסי מתנה - ולאחר מכן מעבירים הרשאות ועוברים רוחבית בין חשבונות ושירותי ענן.

אסטרטגיות עקיפה של התמדה ו-MFA

Jingle Thief שומר על נוכחות ארוכת טווח (חודשים עד יותר משנה). טכניקות התמדה שנצפו כוללות יצירת כללי העברת דואר נכנס, העברה מיידית של הודעות פישינג שנשלחו לפריטים שנמחקו כדי להסתיר עקבות, רישום אפליקציות אימות סוררות ורישום מכשירי תוקף ב-Entra ID. פעולות אלו מאפשרות לקבוצה לשרוד איפוסי סיסמה וביטולי טוקנים וליצור מחדש גישה במהירות.

דפוסי פעולה וקנה מידה

חוקרים הבחינו בגל מתואם של מתקפות באפריל-מאי 2025 שכוונו למספר ארגונים ברחבי העולם. בקמפיין אחד, דווח כי התוקפים שמרו גישה למשך כ-10 חודשים ופרצו לכ-60 חשבונות משתמשים בסביבת קורבן אחת. פעולותיהם מכוונות לעתים קרובות ישירות לפורטלים של הנפקת כרטיסי מתנה, ומנפיקות כרטיסים במספר תוכניות תוך ניסיון למזער רישום ומטא-דאטה פורנזי.

מדוע הונאת כרטיסי מתנה היא אטרקטיבית

כרטיסי מתנה מושכים לנוכלים משום שניתן לפדות אותם או למכור אותם מחדש עם נתוני זיהוי מינימליים, ותהליכי העבודה של ההנפקה שלהם לרוב מנוטרים פחות בקפדנות מאשר מערכות תשלום פיננסיות. כאשר תוקפים מקבלים גישה לענן לתהליכי עבודה אלה, הם יכולים להגדיל את ההונאה במהירות תוך השארת שבילי ביקורת פחות ברורים למגינים לעקוב אחריהם.

אינדיקטורים של פשרה

  • יצירה בלתי מוסברת של כללי תיבת דואר נכנס או העברה אוטומטית לכתובות חיצוניות.
  • רישומי אימות חדשים או רישומי מכשירים בלתי צפויים ב-Entra ID.
  • עליות פתאומיות בהנפקת כרטיסי מתנה בעלי ערך גבוה או הנפקות מחוץ לשעות הפעילות הרגילות.
  • גישה למיקומי SharePoint/OneDrive המאחסנים זרימות עבודה של כרטיסי מתנה, גיליונות אלקטרוניים או מדריכים ל-VPN/מנהל IT.
  • כניסות מרובות לתיבת דואר ממיקומים גיאוגרפיים שונים או כתובות IP לא ידועות שאינן תואמות להתנהגות משתמש רגילה.

בקרות הגנה מומלצות

  • אכיפת MFA עמידה בפני פישינג (מפתחות סיסמה/FIDO2) וחסימת גורמים חלשים שניים שניתן לרשום מרחוק.
  • הקשחת היגיינת זהויות: השבתת אימות מדור קודם, דרישה של מדיניות גישה מותנית והשתמשות בתחנות עבודה עם גישה מורשית לצורך ניהול.
  • ניטור והתראות על כללי העברת תיבות דואר, הרשמות חדשות לאימות/מכשירים וגישה חריגה ליישומים להנפקת כרטיסי מתנה.
  • החלת הרשאות מינימליות על מערכות הנפקה והפרדת זרימות עבודה של הנפקת כרטיסי מתנה ממאגרי דואר/נתונים עסקיים כלליים.

    • הערכת סיום

    השילוב של Jingle Thief בין סיור מעמיק, שימוש לרעה זהיר בחשבון, זמני השהייה הארוכים וטכניקות עקיפת MFA הופך אותו ליריב בסיכון גבוה עבור כל ארגון המנפיק כרטיסי מתנה. מכיוון שהקבוצה ממנפת תכונות זהות ושירות בענן במקום פרצות רועשות בנקודות קצה, הגילוי דורש ניטור זהות ערני, מדיניות MFA קפדנית ובקרות המותאמות להגנה על זרימות עבודה של הנפקה. מתן עדיפות לאמצעי הגנה אלה מפחית את הסיכוי של התוקפים להנפיק, לפדות ולהיעלם בשקט.

    מגמות

    אמריקן אקספרס - ניסיון כניסה נחסם - הונאה

    פישינג, ספאם
    פושעי סייבר מנצלים לעתים קרובות את המוכרות של מותגים מהימנים כדי לפתות משתמשים תמימים לחשוף מידע רגיש. הונאת 'אמריקן אקספרס - ניסיון כניסה נחסם' היא דוגמה מצוינת לטקטיקה זו. הודעות דוא"ל אלו מתחזות להתראות אבטחה מאמריקן אקספרס, טוענות שניסיון כניסה חשוד נחסם וקוראות לנמען לנקוט פעולה מיידית. חשוב להבין שהודעות אלו הן הונאה לחלוטין. הן אינן קשורות לאמריקן אקספרס או לכל חברה, ארגון או ספק...

    הכי נצפה

    תוכנה זדונית

    פישינג, ספאם
    33,390
    הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
    טוען...