जिंगल थिफ साइबर क्राइम ग्रुप
जिंगल थिफ एक आर्थिक रूपमा प्रेरित साइबर अपराध समूह हो जसलाई अनुसन्धानकर्ताहरूले उपहार कार्ड जारी गर्ने संस्थाहरूले प्रयोग गर्ने क्लाउड वातावरणमा लक्षित, कम आवाज हुने आक्रमणहरूको कारण ट्र्याक गरिरहेका छन्। उपहार कार्डहरू थोरै व्यक्तिगत डेटाको साथ रिडिम गर्न सकिन्छ र पुन: बेच्न सजिलो छ, सम्झौता जारी कार्यप्रवाहले छिटो, ट्रेस गर्न गाह्रो नगदआउट प्रदान गर्दछ। समूहको सञ्चालन लामो समयसम्म बसोबास गर्ने समय, सावधानीपूर्वक जासूसी, र परम्परागत मालवेयर भन्दा पहिचान दुरुपयोगको लागि प्राथमिकताको लागि उल्लेखनीय छ - एक संयोजन जसले पत्ता लगाउने र प्रतिक्रियालाई जटिल बनाउँछ।
सामग्रीको तालिका
तिनीहरू को हुन् र अनुसन्धानकर्ताहरूले तिनीहरूलाई के भन्छन्
सुरक्षा विश्लेषकहरूले यस गतिविधि क्लस्टरलाई CL‑CRI‑1032 लेबल गर्छन्। लेबल आपराधिक प्रेरणा ('CRI') द्वारा संचालित क्लस्टर ('CL') को रूपमा विभाजित हुन्छ। मध्यम आत्मविश्वासका साथ बनाइएका एट्रिब्युशन मूल्याङ्कनहरूले गतिविधिलाई एटलस लायन र स्टर्म‑0539 को रूपमा ट्र्याक गरिएका आपराधिक समूहहरूसँग जोड्छन्, जुन मोरक्कोबाट सञ्चालन हुने र कम्तिमा २०२१ को अन्त्यदेखि सक्रिय भएको विश्वास गरिन्छ। 'जिंगल थिफ' उपनामले उपहार कार्डको माग र जारीकर्ताको दबाब बढ्दा छुट्टीको अवधिमा आक्रमण गर्ने समूहको बानीलाई प्रतिबिम्बित गर्दछ।
प्राथमिक उद्देश्यहरू र पीडित प्रोफाइल
जिंगल थिफले क्लाउड प्लेटफर्महरूमा उपहार कार्ड जारी गर्ने व्यवस्थापन गर्ने खुद्रा र उपभोक्ता सेवा संस्थाहरूमा ध्यान केन्द्रित गर्दछ। तिनीहरूको अन्त्य खेल सीधा छ: उच्च-मूल्य उपहार कार्डहरू जारी गर्न आवश्यक पहुँच प्राप्त गर्नुहोस्, त्यसपछि ती कार्डहरू मुद्रीकरण गर्नुहोस् (सामान्यतया खैरो बजारमा पुनर्विक्रय मार्फत)। तिनीहरूले पहुँचलाई प्राथमिकता दिन्छन् जसले तिनीहरूलाई न्यूनतम फोरेन्सिक ट्रेल छोड्दै स्केलमा जारी गर्न दिन्छ।
रणनीति, प्रविधि र प्रक्रियाहरू (TTPs)
बेस्पोक मालवेयर विकास गर्नुको सट्टा, जिंगल थिफ सामाजिक इन्जिनियरिङ र क्लाउड पहिचान दुरुपयोगमा निर्भर गर्दछ:
- प्रमाणपत्र चोरी: समूहले माइक्रोसफ्ट ३६५ प्रमाणपत्रहरू सङ्कलन गर्न अनुकूलित फिसिङ र स्मिसिङ अभियानहरू प्रयोग गर्दछ। प्रारम्भिक अनुसन्धान पछि सन्देशहरू अत्यधिक अनुकूलित गरिन्छन्, प्रायः क्लिक-थ्रु र प्रमाणपत्र सबमिशन दरहरू बढाउन IT सूचनाहरू वा टिकट अद्यावधिकहरूको नक्कल गर्छन्।
- पहिचानको दुरुपयोग र प्रतिरूपण: एक पटक प्रमाणपत्रहरू कब्जा गरिसकेपछि, आक्रमणकारीहरूले लग इन गर्छन् र जारी गर्ने एपहरू र संवेदनशील कागजातहरू पहुँच गर्न वैध प्रयोगकर्ताहरूको प्रतिरूपण गर्छन्। तिनीहरूले क्लाउड-नेटिभ खाता दुरुपयोगको पक्षमा जानाजानी कोलाहलपूर्ण अन्त्यबिन्दु शोषणहरूबाट बच्न सक्छन्।
- रिकनेसेन्स र पार्श्व चाल: प्रारम्भिक पहुँच पछि, तिनीहरूले क्लाउड इस्टेटको नक्साङ्कन गर्छन् — SharePoint, OneDrive, VPN गाइडहरू, स्प्रेडसिटहरू, र उपहार कार्डहरू जारी गर्न वा ट्र्याक गर्न प्रयोग गरिने आन्तरिक कार्यप्रवाहहरू अन्वेषण गर्छन् — त्यसपछि विशेषाधिकारहरू बढाउँछन् र क्लाउड खाताहरू र सेवाहरूमा पार्श्व रूपमा सर्छन्।
दृढता र MFA बाइपास रणनीतिहरू
जिंगल थिफले लामो समयसम्म आफ्नो पकड कायम राख्छ (महिनादेखि एक वर्षभन्दा बढी)। अवलोकन गरिएका दृढता प्रविधिहरूमा इनबक्स फर्वार्डिङ नियमहरू सिर्जना गर्ने, पठाइएका फिसिङ सन्देशहरूलाई तुरुन्तै मेटाइएका वस्तुहरूमा सार्ने, दुष्ट प्रमाणक एपहरू दर्ता गर्ने, र आक्रमणकारी उपकरणहरूलाई एन्ट्रा आईडीमा भर्ना गर्ने समावेश छ। यी कार्यहरूले समूहलाई पासवर्ड रिसेट र टोकन रद्दहरूबाट बच्न र छिटो पहुँच पुन: स्थापना गर्न अनुमति दिन्छ।
सञ्चालन ढाँचा र स्केल
अनुसन्धानकर्ताहरूले अप्रिल-मे २०२५ मा विश्वभरका धेरै उद्यमहरूलाई लक्षित गरी आक्रमणहरूको समन्वित वृद्धि अवलोकन गरे। एउटा अभियानमा, आक्रमणकारीहरूले लगभग १० महिनासम्म पहुँच कायम राखेको र एउटै पीडित वातावरणमा लगभग ६० प्रयोगकर्ता खाताहरू सम्झौता गरेको रिपोर्ट गरिएको छ। तिनीहरूको सञ्चालनले प्रायः उपहार-कार्ड जारी गर्ने पोर्टलहरूलाई सिधै लक्षित गर्दछ, लगिङ र फोरेन्सिक मेटाडेटालाई कम गर्ने प्रयास गर्दा धेरै कार्यक्रमहरूमा कार्डहरू जारी गर्दछ।
उपहार कार्ड धोखाधडी किन आकर्षक छ?
गिफ्ट कार्डहरू ठगी गर्नेहरूका लागि आकर्षक हुन्छन् किनभने तिनीहरूलाई न्यूनतम पहिचान डेटाको साथ रिडिम वा पुन: बेच्न सकिन्छ, र तिनीहरूको जारी कार्यप्रवाहहरू प्रायः वित्तीय भुक्तानी प्रणालीहरू भन्दा कम कडा रूपमा निगरानी गरिन्छ। जब आक्रमणकारीहरूले ती कार्यप्रवाहहरूमा क्लाउड पहुँच प्राप्त गर्छन्, तिनीहरूले रक्षकहरूलाई पछ्याउन कम स्पष्ट लेखा परीक्षण ट्रेलहरू छोड्दै छिटो धोखाधडी मापन गर्न सक्छन्।
सम्झौताका सूचकहरू
- इनबक्स नियमहरूको अस्पष्ट सिर्जना वा बाह्य ठेगानाहरूमा स्वचालित फर्वार्डिङ।
- एन्ट्रा आईडीमा नयाँ प्रमाणक दर्ता वा अप्रत्याशित उपकरण दर्ता।
- उच्च मूल्यको उपहार कार्ड जारी गर्ने वा सामान्य व्यापारिक घण्टा बाहिर जारी गर्ने कार्यमा अचानक वृद्धि।
- उपहार कार्ड कार्यप्रवाह, स्प्रेडसिट, वा VPN/IT-प्रशासक गाइडहरू भण्डारण गर्ने SharePoint/OneDrive स्थानहरूमा पहुँच।
- सामान्य प्रयोगकर्ता व्यवहारसँग मेल नखाने फरक भौगोलिक स्थान वा अज्ञात IP हरूबाट धेरै मेलबक्स लगइनहरू।
सिफारिस गरिएका रक्षात्मक नियन्त्रणहरू
- फिसिङ-प्रतिरोधी MFA (पासकीहरू/FIDO2) लागू गर्नुहोस् र टाढाबाट दर्ता गर्न सकिने कमजोर दोस्रो कारकहरूलाई रोक्नुहोस्।
- पहिचान स्वच्छतालाई कडा बनाउनुहोस्: लिगेसी प्रमाणीकरण असक्षम पार्नुहोस्, सशर्त पहुँच नीतिहरू आवश्यक पार्नुहोस्, र प्रशासनको लागि विशेषाधिकार प्राप्त पहुँच कार्यस्थानहरू प्रयोग गर्नुहोस्।
- मेलबक्स फर्वार्डिङ नियमहरू, नयाँ प्रमाणक/उपकरण नामांकनहरू, र उपहार-कार्ड जारी गर्ने आवेदनहरूमा असामान्य पहुँचको निगरानी र सतर्कता प्रदान गर्नुहोस्।
समापन मूल्याङ्कन
जिंगल थिफको गहिरो जासूसी, सावधानीपूर्वक खाता दुरुपयोग, लामो समयसम्म बस्ने समय, र MFA बाइपास प्रविधिहरूको संयोजनले यसलाई उपहार कार्डहरू जारी गर्ने कुनै पनि संस्थाको लागि उच्च-जोखिमको विरोधी बनाउँछ। समूहले कोलाहलपूर्ण अन्त्यबिन्दु शोषणको सट्टा क्लाउड पहिचान र सेवा सुविधाहरूको लाभ उठाउने भएकोले, पत्ता लगाउन सतर्क पहिचान अनुगमन, कडा MFA नीतिहरू, र जारी कार्यप्रवाहहरू सुरक्षित गर्न अनुकूलित नियन्त्रणहरू आवश्यक पर्दछ। यी रक्षात्मक उपायहरूलाई प्राथमिकता दिनाले आक्रमणकारीहरूलाई चुपचाप जारी गर्ने, नगद निकाल्ने र गायब हुने अवसर कम हुन्छ।
