Preventivo sconto multi-licenza
Database delle minacce Minaccia persistente avanzata (APT) Jingle Thief Cybercrime Group

Jingle Thief Cybercrime Group

Entro Mezo nel Minaccia persistente avanzata (APT)
Traduci in:

Jingle Thief è un gruppo di criminali informatici motivati da interessi economici che i ricercatori hanno monitorato per i suoi attacchi mirati e discreti agli ambienti cloud utilizzati dalle organizzazioni che emettono carte regalo. Poiché le carte regalo possono essere riscattate con pochi dati personali e sono facili da rivendere, compromettere i flussi di lavoro di emissione consente incassi rapidi e difficili da tracciare. Le operazioni del gruppo si distinguono per i lunghi tempi di permanenza, l'attenta ricognizione e la preferenza per l'abuso di identità rispetto al malware tradizionale, una combinazione che complica il rilevamento e la risposta.

Chi sono e come li chiamano i ricercatori

Gli analisti della sicurezza etichettano questo cluster di attività come CL-CRI-1032. L'etichetta si scompone in un cluster ("CL") guidato da motivazioni criminali ("CRI"). Le valutazioni di attribuzione, effettuate con un livello di sicurezza moderato, collegano l'attività a gruppi criminali identificati come Atlas Lion e Storm-0539, che si ritiene operino dal Marocco e siano attivi almeno dalla fine del 2021. Il soprannome "Jingle Thief" riflette l'abitudine del gruppo di colpire durante i periodi di festa, quando la domanda di carte regalo e la pressione degli emittenti aumentano.

Obiettivi primari e profilo della vittima

Jingle Thief si concentra sulle organizzazioni di vendita al dettaglio e di servizi al consumatore che gestiscono l'emissione di carte regalo su piattaforme cloud. Il loro obiettivo finale è semplice: ottenere l'accesso necessario per emettere carte regalo di alto valore, quindi monetizzarle (in genere tramite la rivendita sui mercati grigi). Danno priorità all'accesso che consente loro di eseguire l'emissione su larga scala, lasciando tracce minime.

Tattiche, tecniche e procedure (TTP)

Invece di sviluppare malware su misura, Jingle Thief si affida all'ingegneria sociale e all'abuso dell'identità nel cloud:

  • Furto di credenziali: il gruppo utilizza campagne di phishing e smishing personalizzate per rubare le credenziali di Microsoft 365. I messaggi sono altamente personalizzati dopo una ricognizione preliminare, spesso imitando avvisi IT o aggiornamenti dei ticket per aumentare i tassi di clic e di invio delle credenziali.
  • Abuso di identità e impersonificazione: una volta acquisite le credenziali, gli aggressori accedono e impersonano utenti legittimi per accedere alle app di emissione e alla documentazione sensibile. Evitano intenzionalmente exploit di endpoint rumorosi a favore dell'abuso di account cloud-native.
  • Ricognizione e movimento laterale: dopo l'accesso iniziale, mappano l'ambiente cloud, esplorando SharePoint, OneDrive, guide VPN, fogli di calcolo e flussi di lavoro interni utilizzati per emettere o monitorare le carte regalo, quindi aumentano i privilegi e si muovono lateralmente tra account e servizi cloud.

Strategie di persistenza e bypass MFA

Jingle Thief mantiene punti d'appoggio a lungo termine (da mesi a più di un anno). Le tecniche di persistenza osservate includono la creazione di regole di inoltro della posta in arrivo, lo spostamento immediato dei messaggi di phishing inviati nella cartella Posta eliminata per nascondere le tracce, la registrazione di app di autenticazione non autorizzate e l'inserimento dei dispositivi degli aggressori nell'ID Entra. Queste azioni consentono al gruppo di sopravvivere alle reimpostazioni delle password e alle revoche dei token e di ristabilire rapidamente l'accesso.

Modelli operativi e scala

I ricercatori hanno osservato un'ondata coordinata di attacchi tra aprile e maggio 2025 che ha preso di mira diverse aziende in tutto il mondo. In una campagna, gli aggressori avrebbero mantenuto l'accesso per circa 10 mesi e compromesso circa 60 account utente in un singolo ambiente vittima. Le loro operazioni spesso prendono di mira direttamente i portali di emissione di carte regalo, emettendo carte su più programmi e cercando di ridurre al minimo la registrazione e i metadati forensi.

Perché le frodi sulle carte regalo sono così attraenti

Le carte regalo sono attraenti per i truffatori perché possono essere riscattate o rivendute con dati identificativi minimi e i loro flussi di lavoro di emissione sono spesso meno monitorati rispetto ai sistemi di pagamento finanziari. Quando gli aggressori ottengono l'accesso cloud a tali flussi di lavoro, possono espandere rapidamente le frodi, lasciando tracce di controllo meno evidenti da seguire per i difensori.

Indicatori di compromesso

  • Creazione inspiegabile di regole di posta in arrivo o inoltro automatico a indirizzi esterni.
  • Nuove registrazioni di autenticatori o registrazioni di dispositivi imprevisti in Entra ID.
  • Aumenti improvvisi nell'emissione di carte regalo di valore elevato o emissione al di fuori del normale orario lavorativo.
  • Accesso a posizioni SharePoint/OneDrive in cui sono archiviati flussi di lavoro relativi a carte regalo, fogli di calcolo o guide per amministratori VPN/IT.
  • Accessi multipli alla casella di posta da diverse posizioni geografiche o IP sconosciuti che non corrispondono al normale comportamento dell'utente.

Controlli difensivi consigliati

  • Applicare l'MFA resistente al phishing (passkey/FIDO2) e bloccare i secondi fattori deboli che possono essere registrati da remoto.
  • Rafforzare l'igiene dell'identità: disabilitare l'autenticazione legacy, richiedere criteri di accesso condizionale e utilizzare workstation con accesso privilegiato per l'amministrazione.
  • Monitora e invia avvisi sulle regole di inoltro delle caselle di posta, sulle nuove registrazioni di autenticatori/dispositivi e sugli accessi anomali alle applicazioni di emissione di carte regalo.
  • Applicare il privilegio minimo ai sistemi di emissione e separare i flussi di lavoro di emissione delle carte regalo dagli archivi di dati/posta aziendale generale.

Valutazione di chiusura

La combinazione di ricognizione approfondita, uso improprio degli account, lunghi tempi di permanenza e tecniche di bypass dell'MFA rende Jingle Thief un avversario ad alto rischio per qualsiasi organizzazione che emette carte regalo. Poiché il gruppo sfrutta le funzionalità di identità e servizi cloud anziché exploit di endpoint rumorosi, il rilevamento richiede un attento monitoraggio dell'identità, rigide policy MFA e controlli mirati a proteggere i flussi di lavoro di emissione. Dare priorità a queste misure difensive riduce la possibilità per gli aggressori di emettere, incassare e sparire silenziosamente.

Tendenza

I più visti

Caricamento in corso...