जिंगल चोर साइबर अपराध समूह

जिंगल थीफ़ एक आर्थिक रूप से प्रेरित साइबर अपराधी समूह है जिस पर शोधकर्ता नज़र रख रहे हैं क्योंकि यह उपहार कार्ड जारी करने वाले संगठनों द्वारा इस्तेमाल किए जाने वाले क्लाउड वातावरण पर लक्षित, कम शोर वाले हमले करता है। चूँकि उपहार कार्डों को बहुत कम व्यक्तिगत डेटा के साथ भुनाया जा सकता है और उन्हें फिर से बेचना आसान है, इसलिए जारी करने के वर्कफ़्लो में समझौता करने से तेज़, मुश्किल से पता लगाने योग्य नकद निकासी मिलती है। इस समूह के संचालन लंबे समय तक रुकने, सावधानीपूर्वक निगरानी करने और पारंपरिक मैलवेयर की तुलना में पहचान के दुरुपयोग को प्राथमिकता देने के लिए जाने जाते हैं - एक ऐसा संयोजन जो पहचान और प्रतिक्रिया को जटिल बनाता है।

वे कौन हैं और शोधकर्ता उन्हें क्या कहते हैं?

सुरक्षा विश्लेषक इस गतिविधि समूह को CL‑CRI‑1032 नाम देते हैं। यह लेबल आपराधिक प्रेरणा ('CRI') से प्रेरित एक समूह ('CL') के रूप में विभाजित होता है। मध्यम विश्वास के साथ किए गए एट्रिब्यूशन आकलन, इस गतिविधि को एटलस लायन और स्टॉर्म‑0539 जैसे आपराधिक समूहों से जोड़ते हैं, जिनके बारे में माना जाता है कि वे मोरक्को से संचालित होते हैं और कम से कम 2021 के अंत से सक्रिय हैं। 'जिंगल थीफ' उपनाम इस समूह की छुट्टियों के आसपास हमला करने की आदत को दर्शाता है जब उपहार कार्ड की मांग और जारीकर्ता का दबाव बढ़ जाता है।

प्राथमिक उद्देश्य और पीड़ित प्रोफ़ाइल

जिंगल थीफ़ उन खुदरा और उपभोक्ता सेवा संगठनों पर केंद्रित है जो क्लाउड प्लेटफ़ॉर्म पर उपहार कार्ड जारी करने का प्रबंधन करते हैं। उनका लक्ष्य सीधा है: उच्च-मूल्य वाले उपहार कार्ड जारी करने के लिए आवश्यक पहुँच प्राप्त करें, फिर उन कार्डों से कमाई करें (आमतौर पर ग्रे मार्केट में पुनर्विक्रय के माध्यम से)। वे उस पहुँच को प्राथमिकता देते हैं जिससे वे न्यूनतम फोरेंसिक निशान छोड़ते हुए बड़े पैमाने पर जारी कर सकें।

रणनीतियाँ, तकनीकें और प्रक्रियाएँ (टीटीपी)

विशिष्ट मैलवेयर विकसित करने के बजाय, जिंगल थीफ सामाजिक इंजीनियरिंग और क्लाउड पहचान दुरुपयोग पर निर्भर करता है:

• क्रेडेंशियल चोरी: यह समूह Microsoft 365 क्रेडेंशियल्स चुराने के लिए विशेष रूप से डिज़ाइन किए गए फ़िशिंग और स्मिशिंग अभियानों का उपयोग करता है। प्रारंभिक जाँच के बाद, संदेशों को अत्यधिक अनुकूलित किया जाता है, और अक्सर क्लिक-थ्रू और क्रेडेंशियल सबमिशन दरों को बढ़ाने के लिए आईटी नोटिस या टिकट अपडेट की नकल की जाती है।
• पहचान का दुरुपयोग और प्रतिरूपण: एक बार क्रेडेंशियल्स प्राप्त हो जाने के बाद, हमलावर लॉग इन करते हैं और जारी करने वाले ऐप्स और संवेदनशील दस्तावेज़ों तक पहुँचने के लिए वैध उपयोगकर्ताओं का प्रतिरूपण करते हैं। वे जानबूझकर क्लाउड-नेटिव अकाउंट के दुरुपयोग के पक्ष में शोरगुल वाले एंडपॉइंट एक्सप्लॉइट से बचते हैं।
• टोही और पार्श्व आंदोलन: प्रारंभिक पहुंच के बाद, वे क्लाउड एस्टेट को मैप करते हैं - SharePoint, OneDrive, VPN गाइड, स्प्रेडशीट और उपहार कार्ड जारी करने या ट्रैक करने के लिए उपयोग किए जाने वाले आंतरिक वर्कफ़्लो की खोज करते हैं - फिर विशेषाधिकारों को बढ़ाते हैं और क्लाउड खातों और सेवाओं में पार्श्व रूप से आगे बढ़ते हैं।

दृढ़ता और एमएफए बाईपास रणनीतियाँ

जिंगल थीफ़ लंबे समय तक अपनी पकड़ बनाए रखता है (महीनों से लेकर एक साल से भी ज़्यादा समय तक)। देखी गई दृढ़ता तकनीकों में इनबॉक्स फ़ॉरवर्डिंग नियम बनाना, भेजे गए फ़िशिंग संदेशों को तुरंत डिलीटेड आइटम में डालकर ट्रेस छिपाना, नकली ऑथेंटिकेटर ऐप्स रजिस्टर करना और हमलावर डिवाइस को एंट्रा आईडी में रजिस्टर करना शामिल है। ये क्रियाएँ समूह को पासवर्ड रीसेट और टोकन रद्द होने से बचने और जल्दी से फिर से पहुँच स्थापित करने में मदद करती हैं।

परिचालन पैटर्न और पैमाना

शोधकर्ताओं ने अप्रैल-मई 2025 में दुनिया भर के कई उद्यमों को निशाना बनाकर हमलों की एक समन्वित वृद्धि देखी। एक अभियान में, हमलावरों ने कथित तौर पर लगभग 10 महीनों तक पहुँच बनाए रखी और एक ही पीड़ित परिवेश में लगभग 60 उपयोगकर्ता खातों से समझौता किया। उनके अभियान अक्सर सीधे उपहार-कार्ड जारी करने वाले पोर्टलों को निशाना बनाते हैं, कई कार्यक्रमों में कार्ड जारी करते हैं और लॉगिंग और फोरेंसिक मेटाडेटा को कम करने का प्रयास करते हैं।

गिफ्ट कार्ड धोखाधड़ी क्यों आकर्षक है?

गिफ्ट कार्ड धोखेबाजों के लिए आकर्षक होते हैं क्योंकि इन्हें न्यूनतम पहचान संबंधी जानकारी के साथ भुनाया या फिर से बेचा जा सकता है, और इनके जारी करने के वर्कफ़्लो पर अक्सर वित्तीय भुगतान प्रणालियों की तुलना में कम निगरानी रखी जाती है। जब हमलावर इन वर्कफ़्लो तक क्लाउड पहुँच प्राप्त कर लेते हैं, तो वे धोखाधड़ी को तेज़ी से बढ़ा सकते हैं और साथ ही बचावकर्ताओं के लिए कम स्पष्ट ऑडिट ट्रेल्स भी छोड़ सकते हैं।

समझौते के संकेतक

• इनबॉक्स नियमों का अस्पष्ट निर्माण या बाह्य पतों पर स्वचालित अग्रेषण।
• एन्ट्रा आईडी में नए प्रमाणक पंजीकरण या अप्रत्याशित डिवाइस नामांकन।
• उच्च मूल्य वाले उपहार कार्ड जारी करने या सामान्य व्यावसायिक घंटों के बाहर जारी करने में अचानक वृद्धि।
• SharePoint/OneDrive स्थानों तक पहुंच जो उपहार-कार्ड वर्कफ़्लो, स्प्रेडशीट या VPN/IT-व्यवस्थापक मार्गदर्शिकाएँ संग्रहीत करते हैं।
• विभिन्न भौगोलिक स्थानों या अज्ञात IP से एकाधिक मेलबॉक्स लॉगिन जो सामान्य उपयोगकर्ता व्यवहार से मेल नहीं खाते।

अनुशंसित रक्षात्मक नियंत्रण

• फ़िशिंग-प्रतिरोधी एमएफए (पासकीज़/एफआईडीओ2) लागू करें और कमजोर द्वितीय कारकों को ब्लॉक करें जिन्हें दूरस्थ रूप से पंजीकृत किया जा सकता है।
• पहचान स्वच्छता को कठोर बनाएं: विरासत प्रमाणीकरण को अक्षम करें, सशर्त पहुंच नीतियों की आवश्यकता करें, और प्रशासन के लिए विशेषाधिकार प्राप्त पहुंच कार्यस्थानों का उपयोग करें।
• मेलबॉक्स अग्रेषण नियमों, नए प्रमाणक/डिवाइस नामांकन, तथा उपहार-कार्ड जारी करने वाले अनुप्रयोगों तक असामान्य पहुंच पर निगरानी रखें तथा सचेत करें।

समापन मूल्यांकन

जिंगल थीफ़ की गहन निगरानी, खाते का सावधानीपूर्वक दुरुपयोग, लंबे समय तक निगरानी और एमएफए बाईपास तकनीकों का संयोजन इसे गिफ्ट कार्ड जारी करने वाले किसी भी संगठन के लिए एक उच्च-जोखिम वाला प्रतिद्वंद्वी बनाता है। चूँकि यह समूह शोरगुल वाले एंडपॉइंट एक्सप्लॉइट के बजाय क्लाउड पहचान और सेवा सुविधाओं का लाभ उठाता है, इसलिए पहचान के लिए सतर्क पहचान निगरानी, सख्त एमएफए नीतियों और जारी करने के वर्कफ़्लो की सुरक्षा के लिए अनुकूलित नियंत्रणों की आवश्यकता होती है। इन रक्षात्मक उपायों को प्राथमिकता देने से हमलावरों के लिए चुपचाप कार्ड जारी करने, नकद निकालने और गायब होने के अवसर कम हो जाते हैं।