Oferta rabatowa na wiele licencji
Baza danych zagrożeń Zaawansowane trwałe zagrożenie (APT) Grupa cyberprzestępcza Jingle Thief

Grupa cyberprzestępcza Jingle Thief

Do Mezo w Zaawansowane trwałe zagrożenie (APT)
Przetłumacz na:

Jingle Thief to grupa cyberprzestępców o motywacji finansowej, którą badacze śledzą ze względu na jej ukierunkowane, ciche ataki na środowiska chmurowe wykorzystywane przez organizacje wydające karty podarunkowe. Ponieważ karty podarunkowe można zrealizować, podając niewiele danych osobowych i łatwo je odsprzedać, skompromitowane procesy wydawania zapewniają szybkie i trudne do wyśledzenia wypłaty. Działania grupy charakteryzują się długim czasem reakcji, starannym rozpoznaniem oraz preferencją wobec kradzieży tożsamości nad tradycyjnym złośliwym oprogramowaniem – połączenie to komplikuje wykrywanie i reagowanie na ataki.

Kim są i jak nazywają ich badacze

Analitycy bezpieczeństwa oznaczają ten klaster aktywności CL‑CRI‑1032. Etykieta ta jest klasyfikowana jako klaster („CL”) o podłożu przestępczym („CRI”). Oceny atrybucji, przeprowadzone z umiarkowaną pewnością, łączą tę aktywność z grupami przestępczymi śledzonymi jako Atlas Lion i Storm‑0539, prawdopodobnie działającymi z Maroka i aktywnymi co najmniej od końca 2021 roku. Pseudonim „Jingle Thief” (Złodziej Jingle) odzwierciedla zwyczaj atakowania grupy w okresie świątecznym, kiedy rośnie popyt na karty podarunkowe i presja ze strony wystawców.

Główne cele i profil ofiary

Jingle Thief koncentruje się na organizacjach handlu detalicznego i usług konsumenckich, które zarządzają wydawaniem kart podarunkowych na platformach chmurowych. Cel firmy jest prosty: uzyskać dostęp niezbędny do wydawania kart podarunkowych o wysokiej wartości, a następnie je monetyzować (zazwyczaj poprzez odsprzedaż na szarej strefie). Priorytetem jest dostęp, który pozwala im na wydawanie kart na dużą skalę, pozostawiając minimalny ślad kryminalistyczny.

Taktyki, techniki i procedury (TTP)

Zamiast tworzyć niestandardowe złośliwe oprogramowanie, Jingle Thief opiera się na inżynierii społecznej i nadużywaniu tożsamości w chmurze:

  • Kradzież danych uwierzytelniających: Grupa wykorzystuje spersonalizowane kampanie phishingowe i smishingowe w celu przejęcia danych uwierzytelniających Microsoft 365. Wiadomości są mocno spersonalizowane po wstępnym rozpoznaniu, często imitując powiadomienia IT lub aktualizacje zgłoszeń, aby zwiększyć liczbę kliknięć i liczbę przesłanych danych uwierzytelniających.
  • Nadużycia tożsamości i podszywanie się: Po przechwyceniu danych uwierzytelniających atakujący logują się i podszywają się pod prawowitych użytkowników, aby uzyskać dostęp do aplikacji wydających i poufnej dokumentacji. Celowo unikają oni niebezpiecznych ataków na punkty końcowe, preferując nadużycia kont w chmurze.
  • Rozpoznanie i przemieszczanie się: Po początkowym dostępie użytkownicy mapują zasoby w chmurze — przeglądają usługi SharePoint, OneDrive, przewodniki VPN, arkusze kalkulacyjne i wewnętrzne przepływy pracy używane do wystawiania lub śledzenia kart podarunkowych — a następnie zwiększają uprawnienia i przemieszczają się poziomo między kontami i usługami w chmurze.

Strategie trwałości i omijania MFA

Jingle Thief utrzymuje się na długo (od miesięcy do ponad roku). Zaobserwowane techniki uporczywości obejmują tworzenie reguł przekierowywania skrzynek odbiorczych, natychmiastowe przenoszenie wysłanych wiadomości phishingowych do folderu Elementy usunięte w celu ukrycia śladów, rejestrowanie fałszywych aplikacji uwierzytelniających oraz rejestrowanie urządzeń atakujących w Entra ID. Działania te pozwalają grupie przetrwać resetowanie haseł i unieważnianie tokenów oraz szybko przywrócić dostęp.

Wzory operacyjne i skala

Badacze zaobserwowali skoordynowany wzrost ataków w okresie kwiecień-maj 2025 roku, wymierzonych w wiele przedsiębiorstw na całym świecie. W ramach jednej kampanii atakujący podobno zachowali dostęp przez około 10 miesięcy i przejęli około 60 kont użytkowników w jednym środowisku ofiary. Ich działania często koncentrują się bezpośrednio na portalach wydających karty podarunkowe, wydając karty w ramach wielu programów, jednocześnie starając się zminimalizować rejestrowanie i metadane do analizy kryminalistycznej.

Dlaczego oszustwa związane z kartami podarunkowymi są atrakcyjne

Karty podarunkowe są atrakcyjne dla oszustów, ponieważ można je zrealizować lub odsprzedać, podając jedynie minimalną ilość danych identyfikacyjnych, a procesy ich wydawania są często mniej rygorystycznie monitorowane niż w przypadku systemów płatności finansowych. Kiedy atakujący uzyskują dostęp do tych procesów w chmurze, mogą szybko skalować oszustwa, pozostawiając jednocześnie mniej oczywiste ślady audytu dla obrońców.

Wskaźniki kompromisu

  • Niewyjaśnione tworzenie reguł skrzynki odbiorczej lub automatyczne przekazywanie na adresy zewnętrzne.
  • Rejestracje nowych uwierzytelniaczy lub nieoczekiwane rejestracje urządzeń w Entra ID.
  • Nagły wzrost liczby wydań kart podarunkowych o dużej wartości lub wydawanie ich poza normalnymi godzinami pracy.
  • Dostęp do lokalizacji SharePoint/OneDrive, w których przechowywane są przepływy pracy związane z kartami podarunkowymi, arkusze kalkulacyjne lub przewodniki dla administratorów VPN/IT.
  • Wielokrotne logowanie do skrzynek pocztowych z różnych lokalizacji geograficznych lub z nieznanych adresów IP, co nie odpowiada normalnemu zachowaniu użytkownika.

Zalecane środki obronne

  • Wprowadź odporne na phishing uwierzytelnianie wieloskładnikowe (klucze dostępu/FIDO2) i zablokuj słabe drugie czynniki, które można zarejestrować zdalnie.
  • Wzmocnij higienę tożsamości: wyłącz starsze uwierzytelnianie, wymagaj zasad dostępu warunkowego i wykorzystuj stacje robocze z dostępem uprzywilejowanym do celów administracyjnych.
  • Monitoruj i wysyłaj powiadomienia o regułach przekierowywania skrzynek pocztowych, nowych rejestracjach uwierzytelniaczy/urządzeń i nietypowym dostępie do aplikacji do wydawania kart podarunkowych.
  • Stosuj jak najmniejsze uprawnienia w systemach wydawania kart i oddzielaj procesy wydawania kart podarunkowych od ogólnych magazynów poczty firmowej/danych.

Ocena końcowa

Połączenie dogłębnego rozpoznania, ostrożnego nadużywania kont, długiego czasu pozostawania na koncie i technik omijania uwierzytelniania wieloskładnikowego (MFA) sprawia, że Jingle Thief jest niebezpiecznym przeciwnikiem dla każdej organizacji wydającej karty podarunkowe. Ponieważ grupa wykorzystuje funkcje tożsamości i usług w chmurze, a nie podejrzane ataki na punkty końcowe, wykrywanie wymaga czujnego monitorowania tożsamości, ścisłych zasad MFA oraz mechanizmów kontroli dostosowanych do ochrony procesów wydawania kart. Priorytetyzacja tych środków obronnych zmniejsza ryzyko, że atakujący po cichu wydadzą, wypłacą i znikną.

Popularne

American Express – próba logowania została...

Phishing, Spam
Cyberprzestępcy często wykorzystują znajomość zaufanych marek, aby nakłonić niczego niepodejrzewających użytkowników do ujawnienia poufnych informacji. Oszustwo „American Express – próba logowania została zablokowana” jest doskonałym przykładem tej taktyki. Te e-maile podszywają się pod alerty bezpieczeństwa American Express, twierdząc, że podejrzana próba logowania została zablokowana i...

Najczęściej oglądane

Ładowanie...