Jingle Thief Grupa za kibernetički kriminal

Jingle Thief je financijski motivirani klaster kibernetičkog kriminala koji istraživači prate zbog ciljanih, tihih napada na okruženja u oblaku koja koriste organizacije koje izdaju poklon kartice. Budući da se poklon kartice mogu iskoristiti s malo osobnih podataka i lako ih je preprodati, kompromitiranje tijeka rada izdavanja omogućuje brze i teško sljedive isplate. Djelovanje grupe poznato je po dugom vremenu zadržavanja, pažljivom izviđanju i preferenciji zlouporabe identiteta u odnosu na tradicionalni zlonamjerni softver - kombinacija koja komplicira otkrivanje i reagiranje.

Tko su oni i kako ih istraživači nazivaju

Sigurnosni analitičari označavaju ovaj klaster aktivnosti kao CL‑CRI‑1032. Oznaka se rastavlja na klaster („CL“) vođen kriminalnom motivacijom („CRI“). Procjene atribucije, napravljene s umjerenom pouzdanošću, povezuju aktivnost s kriminalnim skupinama praćenim kao Atlas Lion i Storm‑0539, za koje se vjeruje da djeluju iz Maroka i aktivne su barem od kraja 2021. Nadimak „Jingle Thief“ odražava naviku skupine da napada tijekom blagdana kada potražnja za poklon-karticama i pritisak izdavatelja rastu.

Primarni ciljevi i profil žrtve

Jingle Thief se fokusira na maloprodajne i potrošačke organizacije koje upravljaju izdavanjem poklon kartica na platformama u oblaku. Njihov cilj je jednostavan: dobiti pristup potreban za izdavanje poklon kartica visoke vrijednosti, a zatim unovčiti te kartice (obično preprodajom na sivom tržištu). Prioritet im je pristup koji im omogućuje izdavanje u velikim razmjerima uz minimalan forenzički trag.

Taktike, tehnike i postupci (TTP)

Umjesto razvoja prilagođenog zlonamjernog softvera, Jingle Thief se oslanja na društveni inženjering i zlouporabu identiteta u oblaku:

• Krađa vjerodajnica: Grupa koristi prilagođene phishing i smishing kampanje za prikupljanje vjerodajnica za Microsoft 365. Poruke su vrlo prilagođene nakon preliminarnog izviđanja, često oponašajući IT obavijesti ili ažuriranja tiketa kako bi se povećala stopa klikanja i slanja vjerodajnica.
• Zlouporaba identiteta i lažno predstavljanje: Nakon što se uhvate vjerodajnice, napadači se prijavljuju i lažno predstavljaju legitimne korisnike kako bi pristupili aplikacijama za izdavanje podataka i osjetljivoj dokumentaciji. Namjerno izbjegavaju iskorištavanje bučnih krajnjih točaka u korist zlouporabe računa u oblaku.
• Izviđanje i lateralno kretanje: Nakon početnog pristupa, mapiraju oblačno imanje - istražuju SharePoint, OneDrive, VPN vodiče, proračunske tablice i interne tijekove rada koji se koriste za izdavanje ili praćenje poklon kartica - zatim eskaliraju privilegije i kreću se lateralno između oblačnih računa i usluga.

Upornost i strategije zaobilaženja MFA-a

Jingle Thief održava dugoročne pozicije (mjesecima do više od godinu dana). Uočene tehnike perzistentnosti uključuju stvaranje pravila prosljeđivanja pristigle pošte, trenutno premještanje poslanih phishing poruka u Izbrisane stavke radi skrivanja tragova, registraciju lažnih aplikacija za autentifikaciju i upisivanje uređaja napadača u Entra ID. Ove radnje omogućuju grupi da preživi resetiranje lozinki i opoziv tokena te da brzo ponovno uspostavi pristup.

Operativni obrasci i opseg

Istraživači su primijetili koordinirani porast napada u travnju i svibnju 2025. koji su bili usmjereni na više poduzeća diljem svijeta. U jednoj kampanji, napadači su navodno zadržali pristup oko 10 mjeseci i kompromitirali otprilike 60 korisničkih računa u okruženju jedne žrtve. Njihove operacije često izravno ciljaju portale za izdavanje poklon kartica, izdajući kartice u više programa, pokušavajući pritom smanjiti evidentiranje i forenzičke metapodatke.

Zašto je prijevara s poklon karticama privlačna

Poklon kartice su privlačne prevarantima jer se mogu iskoristiti ili preprodati uz minimalne identifikacijske podatke, a njihovi tijekovi izdavanja često se manje strogo nadziru nego financijski sustavi plaćanja. Kada napadači dobiju pristup tim tijekovima rada u oblaku, mogu brzo skalirati prijevaru, a istovremeno ostavljaju manje očite revizijske tragove koje branitelji mogu pratiti.

Pokazatelji kompromisa

• Neobjašnjivo stvaranje pravila pristigle pošte ili automatsko prosljeđivanje na vanjske adrese.
• Nove registracije autentifikatora ili neočekivane registracije uređaja u Entra ID-u.
• Iznenadni porast izdavanja poklon kartica visoke vrijednosti ili izdavanja izvan uobičajenog radnog vremena.
• Pristup lokacijama sustava SharePoint/OneDrive koje pohranjuju tijekove rada s poklon-karticama, proračunske tablice ili vodiče za VPN/IT administratore.
• Višestruke prijave u poštanske sandučiće s različitih geolokacija ili nepoznatih IP adresa koje ne odgovaraju normalnom ponašanju korisnika.

Preporučene obrambene kontrole

• Provedite MFA (lozinke/FIDO2) otporne na phishing i blokirajte slabe druge faktore koji se mogu registrirati daljinski.
• Pojačajte higijenu identiteta: onemogućite naslijeđenu autentifikaciju, zahtijevajte pravila uvjetnog pristupa i koristite radne stanice s privilegiranim pristupom za administraciju.
• Pratite i upozoravajte na pravila prosljeđivanja poštanskog sandučića, nove registracije autentifikatora/uređaja i anomalan pristup aplikacijama za izdavanje poklon-bonova.

• Primijenite najmanje privilegije na sustave izdavanja i odvojite tijekove rada za izdavanje poklon-bonova od općih poslovnih pošta/pohrana podataka.

Završna procjena

Jingle Thiefova kombinacija dubinskog izviđanja, pažljive zlouporabe računa, dugog vremena zadržavanja i tehnika zaobilaženja MFA-a čini ga visokorizičnim protivnikom za svaku organizaciju koja izdaje poklon kartice. Budući da grupa koristi značajke identiteta i usluga u oblaku, a ne bučne iskorištavanja krajnjih točaka, otkrivanje zahtijeva budno praćenje identiteta, stroge MFA politike i kontrole prilagođene zaštiti tijeka rada izdavanja. Davanje prioriteta ovim obrambenim mjerama smanjuje mogućnost da napadači tiho izdaju, unovče i nestanu.