Скидка на мультилицензию
База данных угроз Расширенная постоянная угроза (APT) Киберпреступная группировка Jingle Thief

Киберпреступная группировка Jingle Thief

К Mezo году в Расширенная постоянная угроза (APT) году
Перевести на:

Jingle Thief — это финансово мотивированная киберпреступная группировка, которую исследователи отслеживают из-за её целенаправленных, малошумных атак на облачные среды, используемые организациями, выпускающими подарочные карты. Поскольку подарочные карты можно использовать с минимальными персональными данными и легко перепродать, взлом рабочих процессов выпуска обеспечивает быстрые и трудноотслеживаемые обналичивания. Операции группировки отличаются длительным временем ожидания, тщательной разведкой и предпочтением использования личных данных традиционным вредоносным программам — сочетание, которое затрудняет обнаружение и реагирование.

Кто они и как их называют исследователи

Аналитики по безопасности обозначают этот кластер активности как CL‑CRI‑1032. Этот кластер классифицируется как кластер (CL), движимый преступной мотивацией (CRI). Оценка атрибуции, проведенная с умеренной уверенностью, связывает эту активность с преступными группировками, известными как Atlas Lion и Storm‑0539, которые, предположительно, действуют из Марокко и с конца 2021 года. Прозвище «Похититель звонарей» отражает привычку группы совершать нападения в праздничные периоды, когда возрастает спрос на подарочные карты и давление на эмитентов.

Основные цели и профиль жертвы

Jingle Thief фокусируется на розничных и потребительских организациях, которые управляют выпуском подарочных карт на облачных платформах. Их цель проста: получить доступ, необходимый для выпуска высококачественных подарочных карт, а затем монетизировать эти карты (обычно путём перепродажи на сером рынке). Они отдают приоритет доступу, который позволяет им выпускать карты в больших масштабах, оставляя минимальный криминалистический след.

Тактика, методы и процедуры (ТТП)

Вместо разработки индивидуального вредоносного ПО Jingle Thief прибегает к социальной инженерии и злоупотреблению облачными идентификационными данными:

  • Кража учётных данных: группировка использует специально разработанные фишинговые и смишинговые кампании для сбора учётных данных Microsoft 365. Сообщения тщательно персонализируются после предварительной разведки и часто имитируют уведомления ИТ-отдела или обновления тикетов, чтобы увеличить количество переходов по ссылкам и отправку учётных данных.
  • Неправомерное использование личных данных и выдача себя за другое лицо: после захвата учётных данных злоумышленники входят в систему и выдают себя за законных пользователей, чтобы получить доступ к приложениям для выдачи сертификатов и конфиденциальной документации. Они намеренно избегают использования уязвимостей конечных точек, предпочитая злоупотребление облачными учётными записями.
  • Разведка и горизонтальное перемещение: после первоначального доступа они составляют карту облачного пространства, изучая SharePoint, OneDrive, руководства VPN, электронные таблицы и внутренние рабочие процессы, используемые для выпуска или отслеживания подарочных карт, а затем повышают привилегии и горизонтально перемещаются между облачными учетными записями и службами.

Настойчивость и стратегии обхода MFA

Jingle Thief сохраняет свои позиции на протяжении длительного времени (от нескольких месяцев до более чем года). Наблюдаемые методы обеспечения устойчивости включают создание правил переадресации входящих сообщений, немедленное перемещение отправленных фишинговых сообщений в папку «Удаленные» для сокрытия следов, регистрацию мошеннических приложений-аутентификаторов и регистрацию устройств злоумышленников в Entra ID. Эти действия позволяют группировке пережить сброс паролей и отзыв токенов, а также быстро восстановить доступ.

Операционные модели и масштаб

Исследователи зафиксировали скоординированный всплеск атак в апреле–мае 2025 года, направленных на несколько предприятий по всему миру. В ходе одной из кампаний злоумышленники, как сообщается, сохраняли доступ около 10 месяцев и скомпрометировали около 60 учётных записей пользователей в одной и той же среде. Их атаки часто направлены непосредственно на порталы выпуска подарочных карт, выпуская карты для нескольких программ, при этом стремясь минимизировать сбор логов и метаданных для криминалистического анализа.

Почему мошенничество с подарочными картами так привлекательно

Подарочные карты привлекательны для мошенников, поскольку их можно использовать или перепродать, используя минимум идентификационных данных, а процессы их выпуска зачастую контролируются менее строго, чем в финансовых платёжных системах. Когда злоумышленники получают облачный доступ к этим процессам, они могут быстро масштабировать мошенничество, оставляя менее очевидные аудиторские следы для злоумышленников.

Индикаторы компрометации

  • Необъяснимое создание правил для входящих сообщений или автоматическая пересылка на внешние адреса.
  • Новые регистрации аутентификаторов или неожиданные регистрации устройств в Entra ID.
  • Внезапное увеличение объемов выдачи подарочных карт с высокой стоимостью или выдачи вне обычного рабочего времени.
  • Доступ к расположениям SharePoint/OneDrive, в которых хранятся рабочие процессы подарочных карт, электронные таблицы или руководства VPN/ИТ-администраторов.
  • Несколько входов в почтовый ящик из разных геолокаций или с неизвестных IP-адресов, которые не соответствуют обычному поведению пользователя.

Рекомендуемые защитные меры контроля

  • Обеспечить защиту от фишинга с помощью многофакторной аутентификации (ключи доступа/FIDO2) и заблокировать слабые вторые факторы, которые можно зарегистрировать удаленно.
  • Усильте гигиену идентификации: отключите устаревшую аутентификацию, требуйте политики условного доступа и используйте рабочие станции с привилегированным доступом для администрирования.
  • Отслеживайте и оповещайте о правилах переадресации почтовых ящиков, новых регистрациях аутентификаторов/устройств и аномальном доступе к приложениям выпуска подарочных карт.
  • Применяйте минимальные привилегии к системам выдачи и отделяйте рабочие процессы выпуска подарочных карт от общих хранилищ деловой почты и данных.

Заключительная оценка

Сочетание глубокой разведки, тщательного злоупотребления аккаунтами, длительного времени ожидания и методов обхода многофакторной аутентификации (MFA) делает Jingle Thief высокорискованным противником для любой организации, выпускающей подарочные карты. Поскольку группировка использует облачные функции идентификации и сервисов, а не уязвимые конечные точки, для её обнаружения требуется бдительный мониторинг личности, строгие политики многофакторной аутентификации (MFA) и средства контроля, специально разработанные для защиты рабочих процессов выпуска. Приоритет этих защитных мер снижает возможности злоумышленников незаметно выпустить подарочные карты, обналичить их и исчезнуть.

В тренде

American Express — мошенничество «Попытка входа была...

Фишинг, Спам
Киберпреступники часто используют известность известных брендов, чтобы заставить доверчивых пользователей раскрыть конфиденциальную информацию. Афера «American Express — попытка входа заблокирована» — яркий пример такой тактики. Эти письма выдают себя за предупреждения системы безопасности American Express, утверждая, что подозрительная попытка входа заблокирована, и призывая получателя...

Chainspanhub.com

Мошеннические сайты, Рекламное ПО, Браузерные хайджекеры
Мошенники продолжают использовать обманные веб-сайты для распространения мошеннических программ, навязчивой рекламы и даже вредоносного ПО. В условиях, когда один неосторожный клик может поставить...

Наиболее просматриваемые

Загрузка...