„Jingle Thief“ kibernetinių nusikaltimų grupė
„Jingle Thief“ – tai finansiškai motyvuota kibernetinių nusikaltėlių grupė, kurią tyrėjai stebi dėl tikslinių, mažai triukšmo sukeliančių atakų debesijos aplinkose, kurias naudoja dovanų korteles išduodančios organizacijos. Kadangi dovanų korteles galima išpirkti turint nedaug asmeninių duomenų ir jas lengva perparduoti, pažeidžiami išdavimo procesai užtikrina greitą ir sunkiai atsekamą pinigų išėmimą. Grupės veiklai būdingas ilgas užlaikymo laikas, kruopšti žvalgyba ir pirmenybė tapatybės piktnaudžiavimui, o ne tradicinei kenkėjiškai programinei įrangai – derinys, kuris apsunkina aptikimą ir reagavimą.
Turinys
Kas jie yra ir kaip juos vadina tyrėjai
Saugumo analitikai šią veiklą žymi kaip CL‑CRI‑1032 klasterį. Šis žymėjimas suskaidomas į klasterį („CL“), kurį lemia nusikalstama motyvacija („CRI“). Priskyrimo vertinimai, atlikti su vidutiniu patikimumu, sieja šią veiklą su nusikalstamomis grupuotėmis, kurios, kaip manoma, veikia iš Maroko ir yra aktyvios bent nuo 2021 m. pabaigos. Pravardė „Jingle Thief“ atspindi grupės įprotį pulti per šventes, kai padidėja dovanų kortelių paklausa ir spaudimas išdavėjams.
Pagrindiniai tikslai ir aukos profilis
„Jingle Thief“ daugiausia dėmesio skiria mažmeninės prekybos ir vartotojų paslaugų organizacijoms, kurios valdo dovanų kortelių išdavimą debesijos platformose. Jų tikslas paprastas: gauti prieigą, reikalingą didelės vertės dovanų kortelėms išduoti, o tada jas monetizuoti (paprastai perparduodant pilkosiose rinkose). Jie teikia pirmenybę prieigai, kuri leidžia jiems vykdyti išdavimą dideliu mastu, paliekant minimalų teismo ekspertizės pėdsaką.
Taktika, metodai ir procedūros (TTP)
Užuot kūrusi specialiai pritaikytą kenkėjišką programinę įrangą, „Jingle Thief“ remiasi socialine inžinerija ir debesijos tapatybės piktnaudžiavimu:
- Kredencialų vagystė: Grupė naudoja specialiai pritaikytas sukčiavimo ir neteisėto įsilaužimo kampanijas, kad išgautų „Microsoft 365“ kredencialus. Po išankstinės žvalgybos pranešimai yra labai suasmeninti, dažnai imituojant IT pranešimus ar bilietų atnaujinimus, siekiant padidinti paspaudimų ir kredencialų pateikimo rodiklius.
- Piktnaudžiavimas tapatybe ir apsimetinėjimas: Užfiksavę prisijungimo duomenis, užpuolikai prisijungia ir apsimeta teisėtais vartotojais, kad pasiektų išdavimo programas ir slaptą dokumentaciją. Jie sąmoningai vengia triukšmingų galinių taškų išnaudojimo būdų, pirmenybę teikdami debesijos pagrindu veikiančių paskyrų piktnaudžiavimui.
- Žvalgyba ir horizontali perkėlimas: Po pradinės prieigos jie susistemina debesijos erdvę – tyrinėja „SharePoint“, „OneDrive“, VPN vadovus, skaičiuokles ir vidinius darbo eigų procesus, naudojamus dovanų kortelėms išduoti arba stebėti, – tada perkelia teises ir horizontaliai perkelia jas tarp debesies paskyrų ir paslaugų.
Atkaklumo ir MFA apėjimo strategijos
„Jingle Thief“ ilgai laikosi savo pozicijos (nuo mėnesių iki daugiau nei metų). Pastebėti atkaklumo metodai apima gautų laiškų peradresavimo taisyklių kūrimą, nedelsiamą išsiųstų sukčiavimo pranešimų perkėlimą į ištrintus elementus, siekiant paslėpti pėdsakus, nesąžiningų autentifikavimo programėlių registravimą ir užpuolikų įrenginių registravimą „Entra ID“. Šie veiksmai leidžia grupei išgyventi slaptažodžių atkūrimą ir prieigos raktų panaikinimą bei greitai atkurti prieigą.
Veiklos modeliai ir mastas
Tyrėjai pastebėjo koordinuotą atakų bangą 2025 m. balandžio–gegužės mėn., kurios taikėsi į kelias įmones visame pasaulyje. Pranešama, kad vienos kampanijos metu užpuolikai išlaikė prieigą maždaug 10 mėnesių ir pavogė maždaug 60 vartotojų paskyrų vienoje aukos aplinkoje. Jų operacijos dažnai nukreiptos tiesiai į dovanų kortelių išdavimo portalus, išduodant korteles keliose programose ir stengiantis kuo labiau sumažinti registravimą ir teismo ekspertizės metaduomenis.
Kodėl dovanų kortelių sukčiavimas yra patrauklus
Dovanų kortelės patrauklios sukčiams, nes jas galima išpirkti arba perparduoti turint minimalius identifikuojančius duomenis, o jų išdavimo procesai dažnai yra mažiau griežtai stebimi nei finansinių mokėjimų sistemos. Kai užpuolikai gauna debesies prieigą prie šių procesų, jie gali greitai išplėsti sukčiavimą, palikdami mažiau akivaizdžius audito pėdsakus gynėjams.
Kompromiso rodikliai
- Nepaaiškinamas gautųjų taisyklių kūrimas arba automatinis persiuntimas išoriniais adresais.
- Naujų autentifikatorių registracijos arba netikėtos įrenginių registracijos „Entra ID“.
- Staigus didelės vertės dovanų kortelių išdavimo padidėjimas arba išdavimas ne įprastomis darbo valandomis.
- Prieiga prie „SharePoint“ / „OneDrive“ vietų, kuriose saugomi dovanų kortelių darbo eigos, skaičiuoklės arba VPN / IT administratoriaus vadovai.
- Keli prisijungimai prie pašto dėžučių iš skirtingų geolokacijų arba nežinomų IP adresų, kurie neatitinka įprasto vartotojo elgesio.
Rekomenduojamos gynybinės kontrolės priemonės
- Įgalinkite sukčiavimui atsparią daugiafaktorinę autentifikaciją (slaptažodžius / FIDO2) ir blokuokite silpnus antrinius faktorius, kuriuos galima užregistruoti nuotoliniu būdu.
- Sustiprinkite tapatybės higieną: išjunkite senąjį autentifikavimą, reikalaukite sąlyginės prieigos politikos ir administravimui naudokite privilegijuotos prieigos darbo vietas.
- Stebėti ir įspėti apie pašto dėžučių peradresavimo taisykles, naujų autentifikatorių / įrenginių registracijas ir anomalią prieigą prie dovanų kortelių išdavimo programų.
Baigiamasis vertinimas
„Jingle Thief“ pasižymi išsamia žvalgyba, kruopščiu sąskaitų netinkamu naudojimu, ilgu veikimo laiku ir MFA apėjimo metodais, todėl ši įmonė yra didelės rizikos priešininkė bet kuriai organizacijai, išduodančiai dovanų korteles. Kadangi grupė naudoja debesies tapatybės ir paslaugų funkcijas, o ne triukšmingus galinių taškų išnaudojimus, aptikimui reikalinga atidi tapatybės stebėsena, griežta MFA politika ir kontrolės priemonės, pritaikytos išdavimo darbo eigoms apsaugoti. Šių gynybinių priemonių prioritetizavimas sumažina užpuolikų galimybes tyliai išduoti korteles, išgryninti pinigus ir dingti.
