Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Advanced Persistent Threat (APT) Csengőtolvaj kiberbűnözői csoport

Csengőtolvaj kiberbűnözői csoport

Mezo -ra Advanced Persistent Threat (APT)-ben
Fordítás ide:

A Jingle Thief egy pénzügyileg motivált kiberbűnözői csoport, amelyet a kutatók az ajándékkártyákat kibocsátó szervezetek által használt felhőalapú környezetek elleni célzott, alacsony zajszintű támadásai miatt követnek nyomon. Mivel az ajándékkártyák kevés személyes adattal beválthatók és könnyen továbbértékesíthetők, a kompromittáló kibocsátási munkafolyamatok gyors és nehezen nyomon követhető kifizetéseket tesznek lehetővé. A csoport működését hosszú tartózkodási idő, gondos felderítés és a személyazonossággal való visszaéléseknek a hagyományos rosszindulatú programokkal szembeni előnyben részesítése jellemzi – ez a kombináció bonyolítja az észlelést és a reagálást.

Kik ők, és hogyan nevezik őket a kutatók

A biztonsági elemzők ezt a tevékenységet CL‑CRI‑1032 klaszternek nevezik. A címke egy bűnözői indíttatású („CRI”) klaszterként („CL”) bontható le. A mérsékelt bizonyossággal végzett hozzárendelési értékelések a tevékenységet az Atlas Lion és a Storm‑0539 néven nyomon követett bűnözői csoportokhoz kötik, amelyekről feltételezik, hogy Marokkóból működnek, és legalább 2021 vége óta aktívak. A „Jingle Thief” becenév a csoport azon szokását tükrözi, hogy az ünnepi időszakokban csapnak le, amikor az ajándékkártyák iránti kereslet és a kibocsátókra nehezedő nyomás megnő.

Elsődleges célok és áldozatprofil

A Jingle Thief kiskereskedelmi és fogyasztói szolgáltató szervezetekre összpontosít, amelyek ajándékkártyák kibocsátását kezelik felhőalapú platformokon. Végcéljuk egyszerű: megszerezni a nagy értékű ajándékkártyák kibocsátásához szükséges hozzáférést, majd ezeket a kártyákat pénzzé tenni (jellemzően szürkepiacokon történő viszonteladás révén). Azokat a hozzáféréseket részesítik előnyben, amelyek lehetővé teszik számukra a nagy mennyiségű kibocsátást, miközben minimális nyomot hagynak maguk után.

Taktikák, technikák és eljárások (TTP-k)

A Jingle Thief ahelyett, hogy egyedi kártevőket fejlesztene, a társadalmi manipulációra és a felhőalapú identitással való visszaélésre támaszkodik:

  • Hitelesítő adatok ellopása: A csoport testreszabott adathalász és csaló kampányokat használ a Microsoft 365 hitelesítő adatainak megszerzésére. Az üzeneteket az előzetes felderítést követően nagymértékben testre szabják, gyakran utánozva az informatikai értesítéseket vagy a jegyfrissítéseket, hogy növeljék az átkattintási és a hitelesítő adatok beküldési arányát.
  • Személyazonossággal való visszaélés és megszemélyesítés: A hitelesítő adatok rögzítése után a támadók bejelentkeznek, és jogos felhasználókat megszemélyesítenek, hogy hozzáférjenek a kibocsátó alkalmazásokhoz és a bizalmas dokumentációkhoz. Szándékosan kerülik a zajos végponti támadásokat, és inkább a felhőalapú fiókokkal való visszaélést részesítik előnyben.
  • Felderítés és laterális áthelyezés: A kezdeti hozzáférés után feltérképezik a felhőbirtokot – megvizsgálják a SharePointot, a OneDrive-ot, a VPN-útmutatókat, a táblázatokat és az ajándékkártyák kibocsátására vagy nyomon követésére használt belső munkafolyamatokat –, majd eszkalálják a jogosultságokat, és laterálisan mozognak a felhőfiókok és -szolgáltatások között.

Kitartás és MFA megkerülési stratégiák

A Jingle Thief hosszú távon (hónapoktól akár egy évnél is) megőrzi jelenlétét. A megfigyelt megmaradási technikák közé tartozik a beérkező levelek továbbítási szabályainak létrehozása, az elküldött adathalász üzenetek azonnali áthelyezése a Törölt elemek mappába a nyomok elrejtése érdekében, hamis hitelesítő alkalmazások regisztrálása, valamint támadó eszközök regisztrálása az Entra ID-be. Ezek a műveletek lehetővé teszik a csoport számára, hogy túlélje a jelszó-visszaállításokat és a tokenek visszavonását, és gyorsan helyreállítsa a hozzáférést.

Működési minták és skálázás

A kutatók 2025 áprilisa és májusa között összehangolt támadáshullámot figyeltek meg, amely világszerte több vállalatot célzott meg. Az egyik kampány során a támadók állítólag körülbelül 10 hónapig tartották fenn a hozzáférést, és egyetlen áldozati környezetben nagyjából 60 felhasználói fiókot kompromittáltak. Műveleteik gyakran közvetlenül az ajándékkártya-kibocsátási portálokat veszik célba, több programban bocsátanak ki kártyákat, miközben megpróbálják minimalizálni a naplózást és a forenzikus metaadatokat.

Miért vonzó az ajándékkártya-csalás?

Az ajándékkártyák vonzóak a csalók számára, mivel minimális azonosító adatokkal beválthatók vagy továbbértékesíthetők, és kibocsátási munkafolyamataik gyakran kevésbé szigorúan felügyeltek, mint a pénzügyi fizetési rendszerek. Amikor a támadók felhőalapú hozzáférést kapnak ezekhez a munkafolyamatokhoz, gyorsan skálázhatják a csalást, miközben kevésbé nyilvánvaló auditnyomokat hagynak a védők számára.

Kompromisszumra utaló jelek

  • Megmagyarázhatatlan beérkező levelek szabályainak létrehozása vagy automatikus továbbítás külső címekre.
  • Új hitelesítő regisztrációk vagy váratlan eszközregisztrációk az Entra ID-ban.
  • A nagy értékű ajándékkártyák kibocsátásának hirtelen növekedése vagy a szokásos munkaidőn kívüli kibocsátás.
  • Hozzáférés SharePoint/OneDrive helyekhez, ahol ajándékkártya-munkafolyamatokat, táblázatokat vagy VPN/IT-adminisztrátori útmutatókat tárolnak.
  • Több postafiók-bejelentkezés különböző földrajzi helyekről vagy ismeretlen IP-címekről, amelyek nem felelnek meg a normál felhasználói viselkedésnek.

Ajánlott védekező mechanizmusok

  • Adathalászat ellen ellenálló MFA (jelszavak/FIDO2) kikényszerítése és a távolról regisztrálható gyenge másodlagos tényezők blokkolása.
  • Az identitáshigiénia megerősítése: tiltsa le a korábbi hitelesítést, írjon elő feltételes hozzáférési szabályzatokat, és használjon privilegizált hozzáférésű munkaállomásokat adminisztrációhoz.
  • Figyelemmel kíséri és riasztásokat küld a postaláda-továbbítási szabályokról, az új hitelesítő/eszköz regisztrációkról és az ajándékkártya-kibocsátási alkalmazásokhoz való rendellenes hozzáférésről.
  • Alkalmazzon minimális jogosultságokat a kibocsátási rendszerekre, és válassza el az ajándékkártya-kibocsátási munkafolyamatokat az általános üzleti levelezéstől/adattáraktól.

Záró értékelés

A Jingle Thief mélyreható felderítésének, gondos fiókokkal való visszaélésének, hosszú tartózkodási idejének és MFA-megkerülési technikáinak kombinációja magas kockázatú ellenféllé teszi minden olyan szervezet számára, amely ajándékkártyákat bocsát ki. Mivel a csoport a felhőalapú identitás- és szolgáltatásfunkciókat használja a zajos végponti támadások helyett, az észleléshez éber identitásfigyelésre, szigorú MFA-szabályzatokra és a kibocsátási munkafolyamatok védelmére szabott ellenőrzésekre van szükség. Ezen védelmi intézkedések prioritása csökkenti a támadók azon lehetőségét, hogy csendben kibocsássanak, készpénzt vegyenek fel, majd eltűnjenek.

Felkapott

American Express - Bejelentkezési kísérlet blokkolva...

Adathalászat, Spam
A kiberbűnözők gyakran kihasználják a megbízható márkák ismertségét, hogy gyanútlan felhasználókat csábítsanak bizalmas információk kiadására. Az „American Express – Bejelentkezési kísérlet blokkolva” átverés ennek a taktikának a kiváló példája. Ezek az e-mailek az American Express biztonsági riasztásait utánozzák, azt állítva, hogy egy gyanús bejelentkezési kísérletet blokkoltak, és a...

Legnézettebb

Betöltés...