Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Geavanceerde aanhoudende dreiging (APT) Jingle Thief Cybercrime Groep

Jingle Thief Cybercrime Groep

Tegen Mezo in Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

Jingle Thief is een financieel gemotiveerde cybercriminele groep die onderzoekers in de gaten houden vanwege de gerichte, stille aanvallen op cloudomgevingen die worden gebruikt door organisaties die cadeaubonnen uitgeven. Omdat cadeaubonnen kunnen worden ingewisseld met weinig persoonlijke gegevens en gemakkelijk door te verkopen zijn, zorgen compromitterende uitgifteprocessen voor snelle, moeilijk te traceren uitbetalingen. De activiteiten van de groep vallen op door de lange wachttijden, zorgvuldige verkenning en een voorkeur voor identiteitsmisbruik boven traditionele malware – een combinatie die detectie en reactie bemoeilijkt.

Wie ze zijn en hoe onderzoekers ze noemen

Beveiligingsanalisten labelen deze activiteitscluster CL‑CRI‑1032. Het label valt uiteen in een cluster ('CL') gedreven door criminele motieven ('CRI'). Attributiebeoordelingen, uitgevoerd met matige zekerheid, koppelen de activiteit aan criminele groepen die worden gevolgd als Atlas Lion en Storm‑0539, waarvan wordt aangenomen dat ze vanuit Marokko opereren en sinds ten minste eind 2021 actief zijn. De bijnaam 'Jingle Thief' weerspiegelt de gewoonte van de groep om toe te slaan rond feestdagen, wanneer de vraag naar cadeaubonnen en de druk van uitgevers toeneemt.

Primaire doelstellingen en slachtofferprofiel

Jingle Thief richt zich op retail- en consumentenorganisaties die de uitgifte van cadeaubonnen beheren via cloudplatforms. Hun einddoel is eenvoudig: de benodigde toegang verkrijgen om waardevolle cadeaubonnen uit te geven en deze vervolgens te gelde te maken (meestal via wederverkoop op grijze markten). Ze geven prioriteit aan toegang waarmee ze op grote schaal kunnen uitgeven en zo min mogelijk forensisch spoor achter kunnen laten.

Tactieken, technieken en procedures (TTP’s)

In plaats van op maat gemaakte malware te ontwikkelen, maakt Jingle Thief gebruik van social engineering en misbruik van identiteiten in de cloud:

  • Diefstal van inloggegevens: De groep gebruikt op maat gemaakte phishing- en smishingcampagnes om Microsoft 365-inloggegevens te verzamelen. Berichten worden na een eerste verkenning sterk gepersonaliseerd en lijken vaak op IT-meldingen of ticketupdates om de klikfrequentie en het aantal ingediende inloggegevens te verhogen.
  • Identiteitsmisbruik en imitatie: Zodra inloggegevens zijn buitgemaakt, loggen aanvallers in en imiteren ze legitieme gebruikers om toegang te krijgen tot uitgifte-apps en gevoelige documentatie. Ze vermijden opzettelijk luidruchtige endpoint-exploits ten gunste van misbruik van cloud-native accounts.
  • Verkenning en laterale verplaatsing: na de eerste toegang brengen ze het cloudlandschap in kaart, waarbij ze SharePoint, OneDrive, VPN-gidsen, spreadsheets en interne workflows voor het uitgeven of volgen van cadeaubonnen verkennen. Vervolgens verhogen ze de rechten en verplaatsen ze zich lateraal tussen cloudaccounts en -services.

Persistentie- en MFA-bypassstrategieën

Jingle Thief blijft langdurig actief (maanden tot meer dan een jaar). Geobserveerde persistentietechnieken zijn onder andere het aanmaken van doorstuurregels voor de inbox, het direct verplaatsen van verzonden phishingberichten naar Verwijderde items om sporen te verbergen, het registreren van malafide authenticatie-apps en het registreren van apparaten van aanvallers in Entra ID. Deze acties stellen de groep in staat wachtwoordresets en intrekkingen van tokens te overleven en snel weer toegang te krijgen.

Operationele patronen en schaal

Onderzoekers observeerden een gecoördineerde golf van aanvallen in april-mei 2025, gericht op meerdere bedrijven wereldwijd. In één campagne zouden aanvallers ongeveer 10 maanden toegang hebben behouden en ongeveer 60 gebruikersaccounts in één slachtofferomgeving hebben gecompromitteerd. Hun activiteiten richten zich vaak rechtstreeks op portals voor de uitgifte van cadeaubonnen, waarbij ze kaarten uitgeven via meerdere programma's, terwijl ze proberen logging en forensische metadata te minimaliseren.

Waarom cadeaubonfraude aantrekkelijk is

Cadeaubonnen zijn aantrekkelijk voor fraudeurs omdat ze met minimale identificatiegegevens kunnen worden ingewisseld of doorverkocht, en omdat hun uitgifteprocessen vaak minder streng worden gecontroleerd dan die van financiële betalingssystemen. Wanneer aanvallers cloudtoegang krijgen tot deze workflows, kunnen ze fraude snel opschalen en blijven er minder zichtbare controletrajecten over voor verdedigers.

Indicatoren van compromis

  • Onverklaarbare aanmaak van inboxregels of automatisch doorsturen naar externe adressen.
  • Nieuwe authenticatorregistraties of onverwachte apparaatinschrijvingen in Entra ID.
  • Plotselinge toename van de uitgifte van cadeaubonnen met een hoge waarde of uitgifte buiten normale kantooruren.
  • Toegang tot SharePoint-/OneDrive-locaties waar workflows voor cadeaubonnen, spreadsheets of VPN-/IT-beheerhandleidingen worden opgeslagen.
  • Meerdere mailbox-aanmeldingen vanaf verschillende geografische locaties of onbekende IP's die niet overeenkomen met normaal gebruikersgedrag.

Aanbevolen defensieve controles

  • Pas phishingbestendige MFA (passkeys/FIDO2) toe en blokkeer zwakke tweede factoren die op afstand kunnen worden geregistreerd.
  • Verbeter de identiteitshygiëne: schakel verouderde authenticatie uit, vereis voorwaardelijk toegangsbeleid en gebruik werkstations met bevoorrechte toegang voor beheer.
  • Houd toezicht op en geef meldingen over regels voor het doorsturen van postvakken, nieuwe authenticator-/apparaatinschrijvingen en afwijkende toegang tot toepassingen voor het uitgeven van cadeaubonnen.
  • Geef uitgiftesystemen de minste rechten en scheid workflows voor het uitgeven van cadeaubonnen van algemene zakelijke post-/gegevensopslag.

Afsluitende beoordeling

De combinatie van diepgaande verkenning, zorgvuldig accountmisbruik, lange wachttijden en MFA-omzeilingstechnieken van Jingle Thief maakt het een risicovolle aanvaller voor elke organisatie die cadeaubonnen uitgeeft. Omdat de groep gebruikmaakt van cloud-identiteits- en servicefuncties in plaats van luidruchtige endpoint-exploits, vereist detectie waakzame identiteitsbewaking, strikt MFA-beleid en controles die zijn afgestemd op de bescherming van uitgifteworkflows. Door prioriteit te geven aan deze defensieve maatregelen, verkleint u de kans dat aanvallers ongemerkt cadeaubonnen uitgeven, verzilveren en verdwijnen.

Trending

Meest bekeken

Bezig met laden...