Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Amenințare persistentă avansată (APT) Grupul de criminalitate cibernetică Jingle Thief

Grupul de criminalitate cibernetică Jingle Thief

Până în Mezo în Amenințare persistentă avansată (APT)
Tradu in:

Jingle Thief este un grup de infractori cibernetici motivați financiar, pe care cercetătorii l-au urmărit datorită atacurilor sale direcționate și cu zgomot redus asupra mediilor cloud utilizate de organizațiile care emit carduri cadou. Deoarece cardurile cadou pot fi valorificate cu puține date personale și sunt ușor de revândut, compromiterea fluxurilor de lucru de emitere oferă retrageri rapide și greu de urmărit. Operațiunile grupului sunt remarcabile pentru timpii lungi de așteptare, recunoașterea atentă și preferința pentru utilizarea abuzivă a identității în detrimentul programelor malware tradiționale - o combinație care complică detectarea și răspunsul.

Cine sunt ei și cum îi numesc cercetătorii

Analiștii în domeniul securității etichetează acest grup de activități CL-CRI-1032. Eticheta se împarte ca un grup („CL”) determinat de motivație criminală („CRI”). Evaluările de atribuire, efectuate cu un nivel de încredere moderat, leagă activitatea de grupuri criminale urmărite ca Atlas Lion și Storm-0539, despre care se crede că operează din Maroc și sunt active cel puțin de la sfârșitul anului 2021. Porecla „Jingle Thief” reflectă obiceiul grupului de a ataca în perioada sărbătorilor, când cererea de carduri cadou și presiunea emitenților cresc.

Obiective principale și profilul victimei

Jingle Thief se concentrează pe organizațiile de retail și servicii pentru consumatori care gestionează emiterea de carduri cadou pe platforme cloud. Scopul lor final este simplu: obținerea accesului necesar pentru a emite carduri cadou de mare valoare, apoi monetizarea acestor carduri (de obicei prin revânzare pe piețele gri). Prioritizează accesul care le permite să emită carduri la scară largă, lăsând în același timp o urmă criminalistică minimă.

Tactici, tehnici și proceduri (TTP-uri)

În loc să dezvolte programe malware personalizate, Jingle Thief se bazează pe inginerie socială și abuz de identitate în cloud:

  • Furtul de acreditări: Grupul folosește campanii personalizate de phishing și smishing pentru a colecta acreditările Microsoft 365. Mesajele sunt extrem de personalizate după o recunoaștere preliminară, imitând adesea notificări IT sau actualizări de tichete pentru a crește ratele de clic și de trimitere a acreditărilor.
  • Utilizarea abuzivă a identității și uzurparea identității: Odată ce datele de autentificare sunt capturate, atacatorii se conectează și se dau drept utilizatori legitimi pentru a accesa aplicațiile emitente și documentația sensibilă. Aceștia evită în mod intenționat exploatările zgomotoase ale endpoint-urilor în favoarea abuzului de conturi cloud-native.
  • Recunoaștere și mișcare laterală: După accesul inițial, aceștia cartografiază spațiul cloud — explorând SharePoint, OneDrive, ghiduri VPN, foi de calcul și fluxuri de lucru interne utilizate pentru emiterea sau urmărirea cardurilor cadou — apoi escaladează privilegiile și se deplasează lateral între conturi și servicii cloud.

Strategii de ocolire a persistenței și a MFA

Jingle Thief își menține prezența pe termen lung (de luni până la mai mult de un an). Tehnicile de persistență observate includ crearea de reguli de redirecționare în inbox, mutarea imediată a mesajelor de phishing trimise în Elemente șterse pentru a ascunde urmele, înregistrarea aplicațiilor de autentificare necinstite și înscrierea dispozitivelor atacatorilor în Entra ID. Aceste acțiuni permit grupului să supraviețuiască resetărilor parolei și revocărilor token-urilor și să restabilească rapid accesul.

Modele operaționale și scară

Cercetătorii au observat o creștere coordonată a atacurilor în aprilie-mai 2025, care au vizat mai multe companii din întreaga lume. Într-o campanie, atacatorii au păstrat accesul timp de aproximativ 10 luni și au compromis aproximativ 60 de conturi de utilizator într-un singur mediu victimă. Operațiunile lor vizează adesea direct portalurile de emitere a cardurilor cadou, emitând carduri în mai multe programe, încercând în același timp să minimizeze metadatele de înregistrare și cele criminalistice.

De ce este atractivă frauda cu carduri cadou

Cardurile cadou sunt atractive pentru escroci deoarece pot fi valorificate sau revândute cu date de identificare minime, iar fluxurile de lucru ale emiterii lor sunt adesea monitorizate mai puțin strict decât sistemele de plăți financiare. Atunci când atacatorii obțin acces în cloud la aceste fluxuri de lucru, pot scala rapid frauda, lăsând în același timp urme de audit mai puțin evidente pentru apărători.

Indicatori de compromis

  • Crearea inexplicabilă a regulilor de inbox sau redirecționarea automată către adrese externe.
  • Noi înregistrări ale autentificatorului sau înscrieri neașteptate ale dispozitivelor în Entra ID.
  • Creșteri bruște ale emiterii de carduri cadou de mare valoare sau emiterea acestora în afara programului normal de lucru.
  • Acces la locații SharePoint/OneDrive care stochează fluxuri de lucru pentru carduri cadou, foi de calcul sau ghiduri pentru administratori VPN/IT.
  • Mai multe conectări la cutia poștală din locații geografice diferite sau adrese IP necunoscute care nu corespund comportamentului normal al utilizatorului.

Controale defensive recomandate

  • Implementați MFA (passkeys/FIDO2) rezistent la phishing și blocați factorii secundari slabi care pot fi înregistrați de la distanță.
  • Consolidarea igienei identității: dezactivarea autentificării tradiționale, impunerea de politici de acces condiționat și utilizarea stațiilor de lucru cu acces privilegiat pentru administrare.
  • Monitorizați și emiteți alerte privind regulile de redirecționare a căsuțelor poștale, noile înscrieri de autentificatori/dispozitive și accesul anormal la aplicațiile de emitere a cardurilor cadou.
  • Aplicați privilegiile minime sistemelor de emitere și separați fluxurile de lucru pentru emiterea cardurilor cadou de e-mailul/depozitele de date generale ale afacerii.

Evaluare finală

Combinația dintre recunoașterea aprofundată, utilizarea abuzivă atentă a conturilor, timpii lungi de așteptare și tehnicile de ocolire a MFA face din Jingle Thief un adversar cu risc ridicat pentru orice organizație care emite carduri cadou. Deoarece grupul utilizează caracteristici de identitate și servicii în cloud, în loc de exploatări zgomotoase la nivel de endpoint, detectarea necesită o monitorizare vigilentă a identității, politici MFA stricte și controale adaptate pentru a proteja fluxurile de lucru de emitere. Prioritizarea acestor măsuri defensive reduce posibilitatea ca atacatorii să emită, să retragă bani și să dispară în mod discret.

Trending

American Express - Înșelătorie privind blocarea...

phishing, Spam
Infractorii cibernetici exploatează adesea familiaritatea mărcilor de încredere pentru a atrage utilizatori neatenți să dezvăluie informații sensibile. Escrocheria „American Express - Tentativa de conectare a fost blocată” este un exemplu excelent al acestei tactici. Aceste e-mailuri se dau drept alerte de securitate de la American Express, susținând că o încercare suspectă de conectare a fost...

Cele mai văzute

Se încarcă...