Jingle Thief Cyberkriminalitetsgruppe

Jingle Thief er en økonomisk motivert nettkriminell klynge som forskere har sporet på grunn av dens målrettede, støysvake angrep på skymiljøer som brukes av organisasjoner som utsteder gavekort. Fordi gavekort kan innløses med lite personopplysninger og er enkle å videreselge, gir kompromitterende utstedelsesarbeidsflyter raske, vanskelig sporbare utbetalinger. Gruppens virksomhet er kjent for lange oppholdstider, nøye rekognosering og en preferanse for identitetsmisbruk fremfor tradisjonell skadelig programvare – en kombinasjon som kompliserer deteksjon og respons.

Hvem de er og hva forskere kaller dem

Sikkerhetsanalytikere kaller denne aktivitetsklyngen CL-CRI-1032. Betegnelsen er delt opp som en klynge («CL») drevet av kriminell motivasjon («CRI»). Attribusjonsvurderinger, gjort med moderat sikkerhet, knytter aktiviteten til kriminelle grupper sporet som Atlas Lion og Storm-0539, antatt å operere fra Marokko og være aktive siden minst slutten av 2021. Kallenavnet «Jingle Thief» gjenspeiler gruppens vane med å slå til rundt høytidsperioder når etterspørselen etter gavekort og presset fra utstedere øker.

Primære mål og offerprofil

Jingle Thief fokuserer på detaljhandels- og forbrukerserviceorganisasjoner som administrerer utstedelse av gavekort i skyplattformer. Sluttmålet deres er enkelt: å skaffe seg tilgangen som trengs for å utstede gavekort av høy verdi, og deretter tjene penger på disse kortene (vanligvis via videresalg på grå markeder). De prioriterer tilgang som lar dem utføre utstedelse i stor skala samtidig som de etterlater et minimalt antall etterforskningsspor.

Taktikk, teknikker og prosedyrer (TTP-er)

I stedet for å utvikle skreddersydd skadevare, bruker Jingle Thief sosial manipulering og misbruk av skyidentiteter:

• Legitimasjonstyveri: Gruppen bruker skreddersydde phishing- og smishing-kampanjer for å høste Microsoft 365-legitimasjon. Meldinger er svært tilpasset etter foreløpig rekognosering, og etterligner ofte IT-varsler eller saksoppdateringer for å øke klikkfrekvensen og antallet innsendinger av legitimasjon.
• Misbruk av identitet og etterligning: Når legitimasjon er registrert, logger angripere seg inn og utgir seg for å være legitime brukere for å få tilgang til utstedelsesapper og sensitiv dokumentasjon. De unngår med vilje støyende endepunktutnyttelser til fordel for misbruk av skybaserte kontoer.
• Rekognosering og lateral bevegelse: Etter første tilgang kartlegger de skyområdet – utforsker SharePoint, OneDrive, VPN-veiledninger, regneark og interne arbeidsflyter som brukes til å utstede eller spore gavekort – og eskalerer deretter rettigheter og beveger seg lateralt på tvers av skykontoer og -tjenester.

Persistens og MFA-omgåelsesstrategier

Jingle Thief har langsiktig fotfeste (måneder til mer enn et år). Observerte vedvarende teknikker inkluderer å lage regler for videresending av innboks, umiddelbart flytting av sendte phishing-meldinger til Slettede elementer for å skjule spor, registrering av uønskede autentiseringsapper og registrering av angriperenheter i Entra ID. Disse handlingene lar gruppen overleve tilbakestilling av passord og tilbakekalling av tokener, og gjenopprette tilgang raskt.

Driftsmønstre og skala

Forskere observerte en koordinert bølge av angrep i april–mai 2025 som var rettet mot flere bedrifter over hele verden. I én kampanje skal angriperne ha beholdt tilgangen i ~10 måneder og kompromittert omtrent 60 brukerkontoer i et enkelt offermiljø. Operasjonene deres retter seg ofte direkte mot gavekortutstedelsesportaler, og utsteder kort på tvers av flere programmer samtidig som de forsøker å minimere logging og rettsmedisinske metadata.

Hvorfor gavekortsvindel er attraktivt

Gavekort er attraktive for svindlere fordi de kan innløses eller videreselges med minimale identifiserende data, og utstedelsesarbeidsflytene deres overvåkes ofte mindre nøye enn finansielle betalingssystemer. Når angripere får skytilgang til disse arbeidsflytene, kan de skalere svindel raskt samtidig som de etterlater mindre åpenbare revisjonsspor for forsvarere å følge.

Indikatorer for kompromiss

• Uforklarlig opprettelse av innboksregler eller automatisk videresending til eksterne adresser.
• Nye autentiseringsregistreringer eller uventede enhetsregistreringer i Entra ID.
• Plutselige økninger i utstedelse av gavekort av høy verdi eller utstedelse utenom vanlig åpningstid.
• Tilgang til SharePoint/OneDrive-plasseringer som lagrer gavekortarbeidsflyter, regneark eller VPN-/IT-administratorveiledninger.
• Flere postbokspålogginger fra forskjellige geolokasjoner eller ukjente IP-adresser som ikke samsvarer med normal brukeratferd.

Anbefalte defensive kontroller

• Håndhev phishing-resistent MFA (passord/FIDO2) og blokker svake sekundære faktorer som kan registreres eksternt.
• Styrk identitetshygienen: deaktiver eldre autentisering, krev betingede tilgangspolicyer og bruk arbeidsstasjoner med privilegert tilgang til administrasjon.
• Overvåk og varsle om regler for videresending av postbokser, nye autentiserings-/enhetsregistreringer og unormal tilgang til applikasjoner for utstedelse av gavekort.

• Gi utstedelsessystemer minst mulig privilegier og atskill arbeidsflyter for utstedelse av gavekort fra vanlige forretningspost-/datalagre.

Avsluttende vurdering

Jingle Thiefs kombinasjon av dyp rekognosering, nøye misbruk av kontoer, lange oppholdstider og MFA-omgåelsesteknikker gjør det til en høyrisikomotstander for enhver organisasjon som utsteder gavekort. Fordi gruppen utnytter skyidentitet og tjenestefunksjoner i stedet for støyende endepunktutnyttelser, krever deteksjon årvåken identitetsovervåking, strenge MFA-policyer og kontroller skreddersydd for å beskytte utstedelsesarbeidsflyter. Prioritering av disse defensive tiltakene reduserer muligheten for at angripere i stillhet utsteder, tar ut penger og forsvinner.