징글시프 사이버범죄단

징글 시프(Jingle Thief)는 금전적 동기를 가진 사이버 범죄 집단으로, 기프트 카드 발급 기관에서 사용하는 클라우드 환경을 표적으로 삼고 저소음 공격을 감행하는 것으로 알려져 연구원들이 추적해 왔습니다. 기프트 카드는 개인 정보가 거의 없고 재판매가 용이하기 때문에 발급 워크플로를 침해하면 신속하고 추적이 어려운 현금 인출이 가능합니다. 이 조직의 활동은 긴 잠복 시간, 철저한 정찰, 그리고 기존 맬웨어보다 신원 도용을 선호하는 것으로 유명합니다. 이러한 요소들이 탐지 및 대응을 더욱 어렵게 만듭니다.

그들은 누구이며 연구자들은 그들을 무엇이라고 부르는가

보안 분석가들은 이 활동 클러스터를 CL‑CRI‑1032로 분류합니다. 이 분류는 범죄 동기('CRI')에 의해 주도되는 클러스터('CL')로 분류됩니다. 중간 정도의 신뢰도로 수행된 귀속성 평가 결과, 이 활동은 모로코에서 활동하며 적어도 2021년 말부터 활동한 것으로 추정되는 Atlas Lion과 Storm‑0539라는 이름의 범죄 조직과 연관되어 있습니다. '징글 시프'라는 별명은 기프트 카드 수요와 발급사 압박이 증가하는 연말연시를 겨냥한 이 조직의 습성을 반영합니다.

주요 목표 및 피해자 프로필

Jingle Thief는 클라우드 플랫폼에서 기프트 카드 발급을 관리하는 소매 및 소비자 서비스 기관에 중점을 둡니다. 그들의 최종 목표는 간단합니다. 고가의 기프트 카드 발급에 필요한 접근 권한을 확보한 후, 해당 카드를 (일반적으로 그레이 마켓에서의 재판매를 통해) 수익화하는 것입니다. 그들은 최소한의 포렌식 흔적만 남기면서 대규모 발급을 수행할 수 있는 접근 권한을 우선시합니다.

전술, 기술 및 절차(TTP)

Jingle Thief는 맞춤형 맬웨어를 개발하는 대신 소셜 엔지니어링과 클라우드 ID 남용에 의존합니다.

• 자격 증명 도용: 이 조직은 맞춤형 피싱 및 스미싱 캠페인을 사용하여 Microsoft 365 자격 증명을 수집합니다. 메시지는 사전 정찰 후 고도로 맞춤화되며, 클릭률과 자격 증명 제출률을 높이기 위해 IT 공지나 티켓 업데이트를 모방하는 경우가 많습니다.
• 신원 오용 및 사칭: 자격 증명이 탈취되면 공격자는 로그인하여 합법적인 사용자로 가장하여 발급 앱과 중요 문서에 접근합니다. 이들은 클라우드 기반 계정 악용을 위해 의도적으로 시끄러운 엔드포인트 공격을 피합니다.
• 정찰 및 수평 이동: 최초 접근 후 클라우드 환경을 매핑합니다. 즉, SharePoint, OneDrive, VPN 가이드, 스프레드시트, 기프트 카드 발급 또는 추적에 사용되는 내부 워크플로를 탐색한 다음 권한을 확대하고 클라우드 계정과 서비스 전반에서 수평 이동합니다.

지속성 및 MFA 우회 전략

Jingle Thief는 장기간(수개월에서 1년 이상) 활동 거점을 유지합니다. 관찰된 지속성 기법으로는 받은 편지함 전달 규칙 생성, 전송된 피싱 메시지를 즉시 '지운 편지함'으로 이동하여 흔적을 숨기기, 악성 인증 앱 등록, 공격자 기기를 Entra ID에 등록하는 것 등이 있습니다. 이러한 활동을 통해 Jingle Thief는 비밀번호 재설정 및 토큰 해지에도 살아남고 신속하게 접근 권한을 다시 확보할 수 있습니다.

운영 패턴 및 규모

연구원들은 2025년 4월에서 5월 사이에 전 세계 여러 기업을 표적으로 한 조직적인 공격 급증을 관찰했습니다. 한 캠페인에서 공격자들은 약 10개월 동안 접근 권한을 유지했고, 단일 피해 환경에서 약 60개의 사용자 계정을 침해한 것으로 알려졌습니다. 공격자들은 기프트 카드 발급 포털을 직접 공격하여 여러 프로그램을 통해 카드를 발급하는 동시에 로깅 및 포렌식 메타데이터를 최소화하려고 노력합니다.

기프트 카드 사기가 매력적인 이유

기프트 카드는 최소한의 식별 정보로 교환하거나 재판매할 수 있고, 발급 절차가 금융 결제 시스템보다 엄격하게 감시되지 않기 때문에 사기꾼들에게 매력적입니다. 공격자가 이러한 절차에 대한 클라우드 접근 권한을 확보하면, 사기 행위를 빠르게 확산시키는 동시에 방어자가 추적하기 어려운 감사 추적 정보를 남길 수 있습니다.

손상의 지표

• 설명할 수 없는 받은 편지함 규칙 생성이나 외부 주소로의 자동 전달.
• Entra ID에 새로운 인증자가 등록되었거나 예상치 못한 장치가 등록되었습니다.
• 고가의 상품권 발급이 갑자기 늘어나거나, 정상 영업시간 외에 발급되는 경우.
• 기프트 카드 워크플로, 스프레드시트 또는 VPN/IT 관리 가이드를 저장하는 SharePoint/OneDrive 위치에 액세스할 수 있습니다.
• 일반적인 사용자 동작과 일치하지 않는 서로 다른 지리적 위치 또는 알 수 없는 IP에서 여러 개의 사서함 로그인이 발생했습니다.

권장되는 방어 제어

• 피싱 방지 MFA(패스키/FIDO2)를 시행하고 원격으로 등록할 수 있는 취약한 두 번째 요소를 차단합니다.
• 신원 보안을 강화하세요. 기존 인증을 비활성화하고, 조건부 액세스 정책을 요구하고, 관리를 위해 특권 액세스 워크스테이션을 사용하세요.
• 사서함 전달 규칙, 새로운 인증자/장치 등록, 기프트 카드 발급 애플리케이션에 대한 비정상적인 액세스를 모니터링하고 경고합니다.

• 발급 시스템에 최소 권한을 적용하고 기프트 카드 발급 워크플로를 일반 비즈니스 메일/데이터 저장소에서 분리합니다.

마무리 평가

Jingle Thief는 심층적인 정찰, 신중한 계정 오용, 긴 체류 시간, 그리고 MFA 우회 기법을 결합하여 기프트 카드를 발급하는 모든 조직에 고위험 공격자로 작용합니다. 이 그룹은 시끄러운 엔드포인트 익스플로잇 대신 클라우드 ID 및 서비스 기능을 활용하기 때문에, 탐지를 위해서는 철저한 ID 모니터링, 엄격한 MFA 정책, 그리고 발급 워크플로우를 보호하기 위한 맞춤형 제어가 필요합니다. 이러한 방어 조치를 우선시하면 공격자가 조용히 발급하고 현금화한 후 사라질 가능성을 줄일 수 있습니다.