Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Ancaman Berterusan Lanjutan (APT) Kumpulan Jenayah Siber Pencuri Jingle

Kumpulan Jenayah Siber Pencuri Jingle

Menjelang Mezo pada Ancaman Berterusan Lanjutan (APT)
Terjemahkan ke

Jingle Thief ialah kluster penjenayah siber bermotifkan kewangan yang telah dijejaki penyelidik kerana sasarannya, serangan hingar rendah pada persekitaran awan yang digunakan oleh organisasi yang mengeluarkan kad hadiah. Oleh kerana kad hadiah boleh ditebus dengan sedikit data peribadi dan mudah untuk dijual semula, aliran kerja pengeluaran yang menjejaskan menyediakan wang tunai yang cepat dan sukar dikesan. Operasi kumpulan itu terkenal untuk masa tinggal yang lama, peninjauan berhati-hati, dan keutamaan untuk penyalahgunaan identiti berbanding perisian hasad tradisional — gabungan yang merumitkan pengesanan dan tindak balas.

Siapa Mereka Dan Apa Nama Pengkaji Mereka

Penganalisis keselamatan melabelkan kelompok aktiviti ini CL‑CRI‑1032. Label dipecahkan sebagai kluster ('CL') didorong oleh motivasi jenayah ('CRI'). Penilaian atribusi, yang dibuat dengan keyakinan sederhana, menghubungkan aktiviti itu kepada kumpulan penjenayah yang dijejaki sebagai Atlas Lion dan Storm‑0539, dipercayai beroperasi dari Maghribi dan aktif sejak sekurang-kurangnya lewat 2021. Nama panggilan 'Jingle Thief' mencerminkan tabiat kumpulan yang menarik perhatian semasa tempoh cuti apabila permintaan kad hadiah dan tekanan pengeluar meningkat.

Objektif Utama Dan Profil Mangsa

Jingle Thief memfokuskan pada organisasi runcit dan perkhidmatan pengguna yang mengurus pengeluaran kad hadiah dalam platform awan. Perlawanan akhir mereka adalah mudah: dapatkan akses yang diperlukan untuk mengeluarkan kad hadiah bernilai tinggi, kemudian wangkan kad tersebut (biasanya melalui jualan semula di pasaran kelabu). Mereka mengutamakan akses yang membolehkan mereka melakukan pengeluaran pada skala sambil meninggalkan jejak forensik yang minimum.

Taktik, Teknik dan Prosedur (TTP)

Daripada membangunkan perisian hasad yang dipesan lebih dahulu, Jingle Thief bergantung pada kejuruteraan sosial dan penyalahgunaan identiti awan:

  • Kecurian bukti kelayakan: Kumpulan menggunakan kempen pancingan data dan smishing yang disesuaikan untuk mendapatkan bukti kelayakan Microsoft 365. Mesej sangat disesuaikan selepas peninjauan awal, sering meniru notis IT atau kemas kini tiket untuk meningkatkan kadar penyerahan klik-lalu dan bukti kelayakan.
  • Penyalahgunaan identiti dan penyamaran: Setelah bukti kelayakan ditangkap, penyerang log masuk dan menyamar sebagai pengguna yang sah untuk mengakses apl pengeluaran dan dokumentasi sensitif. Mereka sengaja mengelakkan eksploitasi titik akhir yang bising yang memihak kepada penyalahgunaan akaun asli awan.
  • Peninjauan dan pergerakan sisi: Selepas akses awal, mereka memetakan estet awan — meneroka SharePoint, OneDrive, panduan VPN, hamparan dan aliran kerja dalaman yang digunakan untuk mengeluarkan atau menjejaki kad hadiah — kemudian meningkatkan keistimewaan dan bergerak ke sisi merentasi akaun dan perkhidmatan awan.

Kegigihan Dan Strategi Pintasan MFA

Jingle Thief mengekalkan pijakan jangka panjang (berbulan hingga lebih daripada setahun). Teknik kegigihan yang diperhatikan termasuk membuat peraturan pemajuan peti masuk, segera mengalihkan mesej pancingan data yang dihantar ke Item Dipadamkan untuk menyembunyikan jejak, mendaftarkan apl pengesah penyangak dan mendaftarkan peranti penyerang ke dalam ID Entra. Tindakan ini membolehkan kumpulan itu bertahan daripada penetapan semula kata laluan dan pembatalan token serta mewujudkan semula akses dengan cepat.

Corak Dan Skala Operasi

Penyelidik memerhatikan lonjakan serangan yang diselaraskan pada April–Mei 2025 yang menyasarkan berbilang perusahaan di seluruh dunia. Dalam satu kempen, penyerang dilaporkan mengekalkan akses selama ~10 bulan dan menjejaskan kira-kira 60 akaun pengguna dalam satu persekitaran mangsa. Operasi mereka sering menyasarkan portal pengeluaran kad hadiah secara langsung, mengeluarkan kad merentas berbilang program sambil cuba meminimumkan pembalakan dan metadata forensik.

Mengapa Penipuan Kad Hadiah Menarik

Kad hadiah menarik kepada penipu kerana ia boleh ditebus atau dijual semula dengan data pengenalan yang minimum, dan aliran kerja pengeluaran mereka selalunya kurang dipantau dengan ketat berbanding sistem pembayaran kewangan. Apabila penyerang mendapat akses awan kepada aliran kerja tersebut, mereka boleh menskalakan penipuan dengan cepat sambil meninggalkan jejak audit yang kurang jelas untuk diikuti oleh pembela.

Petunjuk Kompromi

  • Penciptaan peraturan peti masuk yang tidak dapat dijelaskan atau pemajuan automatik ke alamat luaran.
  • Pendaftaran pengesah baharu atau pendaftaran peranti yang tidak dijangka dalam ID Entra.
  • Peningkatan mendadak dalam pengeluaran atau pengeluaran kad hadiah bernilai tinggi di luar waktu perniagaan biasa.
  • Akses kepada lokasi SharePoint/OneDrive yang menyimpan aliran kerja kad hadiah, hamparan atau panduan pentadbir VPN/IT.
  • Log masuk berbilang peti mel daripada geolokasi berbeza atau IP tidak diketahui yang tidak sepadan dengan gelagat pengguna biasa.

Kawalan pertahanan yang disyorkan

  • Kuatkuasakan MFA (kunci laluan/FIDO2) yang tahan pancingan data dan sekat faktor kedua yang lemah yang boleh didaftarkan dari jauh.
  • Keraskan kebersihan identiti: lumpuhkan pengesahan warisan, memerlukan dasar akses bersyarat dan gunakan stesen kerja akses istimewa untuk pentadbiran.
  • Pantau dan maklumkan tentang peraturan pemajuan peti mel, pendaftaran pengesah/peranti baharu dan akses anomali kepada aplikasi pengeluaran kad hadiah.
  • Gunakan keistimewaan paling sedikit pada sistem pengeluaran dan asingkan aliran kerja pengeluaran kad hadiah daripada stor mel/data perniagaan am.

Penilaian Penutup

Kombinasi peninjauan mendalam Jingle Thief, penyalahgunaan akaun berhati-hati, masa tinggal yang lama dan teknik pintasan MFA menjadikannya musuh berisiko tinggi bagi mana-mana organisasi yang mengeluarkan kad hadiah. Oleh kerana kumpulan itu memanfaatkan identiti awan dan ciri perkhidmatan berbanding eksploitasi titik akhir yang bising, pengesanan memerlukan pemantauan identiti yang berwaspada, dasar MFA yang ketat dan kawalan yang disesuaikan untuk melindungi aliran kerja terbitan. Mengutamakan langkah pertahanan ini mengurangkan peluang penyerang untuk mengeluarkan, mengeluarkan tunai dan menghilangkan diri secara senyap.

Trending

Paling banyak dilihat

Memuatkan...