Vairāku licenču atlaides piedāvājums
Draudu datu bāze Advanced Persistent Threat (APT) Jingle Thief kibernoziegumu grupa

Jingle Thief kibernoziegumu grupa

Līdz Mezo. gadam Advanced Persistent Threat (APT). gadā
Tulkot uz:

“Jingle Thief” ir finansiāli motivēta kibernoziedznieku grupa, kuru pētnieki ir izsekojuši, jo tā veic mērķtiecīgus, klusus uzbrukumus mākoņvidēm, ko izmanto organizācijas, kas izdod dāvanu kartes. Tā kā dāvanu kartes var izmantot ar nelielu personas datu apjomu un tās ir viegli pārdot tālāk, kompromitējošas izdošanas darbplūsmas nodrošina ātru un grūti izsekojamu naudas izmaksu. Grupas darbības izceļas ar ilgu aizkavēšanos, rūpīgu izlūkošanu un priekšroku identitātes ļaunprātīgai izmantošanai, nevis tradicionālajai ļaunprogrammatūrai, — šī kombinācija sarežģī atklāšanu un reaģēšanu.

Kas viņi ir un kā pētnieki viņus sauc

Drošības analītiķi šo darbību apzīmē kā klasteri (“CL”), ko virza noziedzīga motivācija (“CRI”). Ar mērenu ticamību veiktie attiecinājuma novērtējumi saista šo darbību ar noziedzīgām grupām, kas izsekotas kā Atlas Lion un Storm-0539, kuras, domājams, darbojas no Marokas un ir aktīvas vismaz kopš 2021. gada beigām. Iesauka “Jingle Thief” atspoguļo grupas ieradumu uzbrukt svētku periodos, kad pieaug pieprasījums pēc dāvanu kartēm un spiediens uz izdevējiem.

Galvenie mērķi un upura profils

Jingle Thief koncentrējas uz mazumtirdzniecības un patērētāju pakalpojumu organizācijām, kas pārvalda dāvanu karšu izdošanu mākoņplatformās. Viņu galvenais mērķis ir vienkāršs: iegūt piekļuvi, kas nepieciešama, lai izdotu augstas vērtības dāvanu kartes, un pēc tam monetizēt šīs kartes (parasti, pārdodot tās pelēkajos tirgos). Viņi piešķir prioritāti piekļuvei, kas ļauj veikt izdošanu plašā mērogā, vienlaikus atstājot minimālu forensisko pēdu.

Taktika, metodes un procedūras (TTP)

Tā vietā, lai izstrādātu pielāgotu ļaunprogrammatūru, Jingle Thief paļaujas uz sociālo inženieriju un mākoņa identitātes ļaunprātīgu izmantošanu:

  • Akreditācijas datu zādzība: Grupa izmanto pielāgotas pikšķerēšanas un krāpšanas kampaņas, lai iegūtu Microsoft 365 akreditācijas datus. Ziņojumi pēc iepriekšējas izpētes tiek ļoti pielāgoti, bieži vien atdarinot IT paziņojumus vai pieprasījumu atjauninājumus, lai palielinātu klikšķu skaitu un akreditācijas datu iesniegšanas rādītājus.
  • Identitātes ļaunprātīga izmantošana un personības uzdošanās: Kad akreditācijas dati ir iegūti, uzbrucēji piesakās un uzdodas par likumīgiem lietotājiem, lai piekļūtu izdošanas lietotnēm un sensitīvai dokumentācijai. Viņi apzināti izvairās no trokšņainām galapunktu izmantošanas metodēm, dodot priekšroku mākoņpakalpojumos balstītu kontu ļaunprātīgai izmantošanai.
  • Izlūkošana un horizontāla pārvietošanās: Pēc sākotnējās piekļuves viņi kartē mākoņplatformu — izpēta SharePoint, OneDrive, VPN ceļvežus, izklājlapas un iekšējās darbplūsmas, ko izmanto dāvanu karšu izsniegšanai vai izsekošanai —, pēc tam eskalē privilēģijas un horizontāli pārvietojas starp mākoņkontiem un pakalpojumiem.

Noturība un MFA apiešanas stratēģijas

Jingle Thief ilgstoši (no vairākiem mēnešiem līdz pat vairāk nekā gadam) saglabā savas pozīcijas. Novērotās noturības metodes ietver iesūtnes pārsūtīšanas noteikumu izveidi, nosūtīto pikšķerēšanas ziņojumu tūlītēju pārvietošanu uz dzēstajiem vienumiem, lai paslēptu pēdas, negodīgu autentifikācijas lietotņu reģistrēšanu un uzbrucēju ierīču reģistrēšanu Entra ID. Šīs darbības ļauj grupai pārciest paroles atiestatīšanu un žetonu atsaukšanu, kā arī ātri atjaunot piekļuvi.

Darbības modeļi un mērogs

Pētnieki novēroja koordinētu uzbrukumu pieaugumu 2025. gada aprīlī–maijā, kas bija vērsts pret vairākiem uzņēmumiem visā pasaulē. Vienā kampaņā uzbrucēji, kā ziņots, saglabāja piekļuvi aptuveni 10 mēnešus un viena upura vidē kompromitēja aptuveni 60 lietotāju kontus. Viņu darbības bieži vien ir tieši vērstas pret dāvanu karšu izsniegšanas portāliem, izsniedzot kartes vairākās programmās, vienlaikus cenšoties samazināt reģistrēšanu un kriminālistikas metadatus.

Kāpēc dāvanu karšu krāpšana ir pievilcīga

Dāvanu kartes ir pievilcīgas krāpniekiem, jo tās var izmantot vai pārdot tālāk ar minimāliem identificējošiem datiem, un to izdošanas darbplūsmas bieži vien tiek mazāk stingri uzraudzītas nekā finanšu maksājumu sistēmas. Kad uzbrucēji iegūst mākoņa piekļuvi šīm darbplūsmām, viņi var ātri mērogot krāpšanu, vienlaikus atstājot aizstāvjiem mazāk acīmredzamas audita takas.

Kompromisa rādītāji

  • Neizskaidrojama iesūtnes noteikumu izveide vai automātiska pārsūtīšana uz ārējām adresēm.
  • Jaunas autentifikatoru reģistrācijas vai negaidītas ierīču reģistrācijas Entra ID.
  • Pēkšņs augstas vērtības dāvanu karšu izsniegšanas pieaugums vai izsniegšana ārpus parastā darba laika.
  • Piekļuve SharePoint/OneDrive atrašanās vietām, kurās glabājas dāvanu karšu darbplūsmas, izklājlapas vai VPN/IT administratora rokasgrāmatas.
  • Vairākas pieteikšanās pastkastītē no dažādām ģeogrāfiskām atrašanās vietām vai nezināmām IP adresēm, kas neatbilst parastai lietotāja uzvedībai.

Ieteicamie aizsardzības līdzekļi

  • Ieviesiet pret pikšķerēšanu aizsargātu MFA (piekļuves atslēgas/FIDO2) un bloķējiet vājus sekundāros faktorus, kurus var reģistrēt attālināti.
  • Nostipriniet identitātes higiēnu: atspējojiet mantoto autentifikāciju, pieprasiet nosacītas piekļuves politikas un administrēšanai izmantojiet priviliģētas piekļuves darbstacijas.
  • Uzraudzīt un brīdināt par pastkastes pāradresācijas noteikumiem, jaunu autentifikatoru/ierīču reģistrāciju un anomālu piekļuvi dāvanu karšu izsniegšanas lietojumprogrammām.
  • Piešķirt izdošanas sistēmām vismazākās privilēģijas un atdalīt dāvanu karšu izdošanas darbplūsmas no vispārējā biznesa pasta/datu krātuvēm.

Noslēguma novērtējums

Jingle Thief dziļās izlūkošanas, rūpīgas kontu ļaunprātīgas izmantošanas, ilgo dīkstāves laiku un MFA apiešanas metožu apvienojums padara to par augsta riska pretinieku jebkurai organizācijai, kas izdod dāvanu kartes. Tā kā grupa izmanto mākoņa identitātes un pakalpojumu funkcijas, nevis trokšņainus galapunktu izmantošanas gadījumus, atklāšanai ir nepieciešama modra identitātes uzraudzība, stingras MFA politikas un kontroles, kas pielāgotas izdošanas darbplūsmu aizsardzībai. Šo aizsardzības pasākumu prioritizēšana samazina uzbrucēju iespēju nemanāmi izsniegt, izņemt naudu un pazust.

Tendences

American Express — pierakstīšanās mēģinājums tika...

Pikšķerēšana, Mēstules
Kibernoziedznieki bieži izmanto uzticamu zīmolu atpazīstamību, lai pievilinātu neko nenojaušošus lietotājus atklāt sensitīvu informāciju. Krāpniecība “American Express — pierakstīšanās mēģinājums tika bloķēts” ir spilgts šīs taktikas piemērs. Šie e-pasti atdarina American Express drošības brīdinājumus, apgalvojot, ka aizdomīgs pierakstīšanās mēģinājums ir bloķēts, un mudinot saņēmēju...

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
33,390
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...