Multilicenčná zľavová ponuka
Databáza hrozieb Pokročilá perzistentná hrozba (APT) Skupina pre kybernetickú kriminalitu Jingle Thief

Skupina pre kybernetickú kriminalitu Jingle Thief

Do roku Mezo v roku Pokročilá perzistentná hrozba (APT)
Preložiť do:

Jingle Thief je finančne motivovaný kyberzločinecký klaster, ktorý výskumníci sledujú kvôli jeho cieleným, nenápadným útokom na cloudové prostredia používané organizáciami vydávajúcimi darčekové karty. Keďže darčekové karty je možné uplatniť s malým množstvom osobných údajov a ľahko sa ďalej predávajú, ohrozenie pracovných postupov pri vydávaní umožňuje rýchle a ťažko sledovateľné výbery. Operácie skupiny sa vyznačujú dlhými časmi zotrvania v sieti, starostlivým prieskumom a preferenciou zneužívania identity pred tradičným malvérom – táto kombinácia komplikuje detekciu a reakciu.

Kto sú a ako ich nazývajú výskumníci

Bezpečnostní analytici označujú tento klaster aktivít ako CL‑CRI‑1032. Toto označenie sa delí na klaster („CL“) riadený kriminálnou motiváciou („CRI“). Posúdenia atribucie, vykonané s miernou istotou, spájajú aktivitu so zločineckými skupinami sledovanými ako Atlas Lion a Storm‑0539, o ktorých sa predpokladá, že pôsobia z Maroka a sú aktívne prinajmenšom od konca roka 2021. Prezývka „Jingle Thief“ odráža zvyk skupiny útočiť počas sviatkov, keď rastie dopyt po darčekových kartách a tlak na ich vydavateľa.

Primárne ciele a profil obete

Spoločnosť Jingle Thief sa zameriava na maloobchodné a spotrebiteľské organizácie, ktoré spravujú vydávanie darčekových kariet na cloudových platformách. Ich cieľ je jednoduchý: získať prístup potrebný na vydávanie darčekových kariet s vysokou hodnotou a potom tieto karty speňažiť (zvyčajne prostredníctvom ďalšieho predaja na sivých trhoch). Uprednostňujú prístup, ktorý im umožňuje vykonávať vydávanie vo veľkom rozsahu a zároveň zanechávať minimálnu forenznú stopu.

Taktiky, techniky a postupy (TTP)

Namiesto vývoja malvéru na mieru sa Jingle Thief spolieha na sociálne inžinierstvo a zneužívanie cloudovej identity:

  • Krádež poverení: Skupina používa prispôsobené phishingové a smishingové kampane na získavanie poverení pre Microsoft 365. Správy sú po predbežnom prieskume vysoko prispôsobené a často napodobňujú IT oznámenia alebo aktualizácie tiketov, aby sa zvýšila miera prekliknutí a odoslania poverení.
  • Zneužitie identity a vydávanie sa za inú osobu: Po zachytení prihlasovacích údajov sa útočníci prihlásia a vydávajú sa za legitímnych používateľov, aby získali prístup k aplikáciám na vydávanie údajov a citlivej dokumentácii. Zámerne sa vyhýbajú zneužitiu hlučných koncových bodov v prospech zneužitia cloudových účtov.
  • Prieskum a laterálny presun: Po počiatočnom prístupe zmapujú cloudové prostredie – preskúmajú SharePoint, OneDrive, príručky VPN, tabuľky a interné pracovné postupy používané na vydávanie alebo sledovanie darčekových kariet – potom eskalujú privilégiá a laterálne sa presúvajú medzi cloudovými účtami a službami.

Stratégie perzistencie a obídenia MFA

Jingle Thief si udržiava dlhodobé pozície (mesiace až viac ako rok). Medzi pozorované techniky perzistencie patrí vytváranie pravidiel preposielania doručenej pošty, okamžité presúvanie odoslaných phishingových správ do priečinka Odstránené položky s cieľom skryť stopy, registrácia falošných autentifikačných aplikácií a registrácia zariadení útočníka do Entra ID. Tieto akcie umožňujú skupine prežiť obnovenie hesla a zrušenie tokenov a rýchlo obnoviť prístup.

Prevádzkové vzorce a rozsah

Výskumníci zaznamenali v období apríl – máj 2025 koordinovaný nárast útokov zameraných na viacero podnikov po celom svete. V jednej kampani si útočníci údajne udržali prístup približne 10 mesiacov a napadli približne 60 používateľských účtov v prostredí jednej obete. Ich operácie sa často zameriavajú priamo na portály na vydávanie darčekových kariet, pričom vydávajú karty vo viacerých programoch a zároveň sa snažia minimalizovať protokolovanie a forenzné metadáta.

Prečo je podvod s darčekovými kartami atraktívny

Darčekové karty sú pre podvodníkov atraktívne, pretože ich možno uplatniť alebo ďalej predať s minimálnymi identifikačnými údajmi a ich pracovné postupy vydávania sú často menej prísne monitorované ako finančné platobné systémy. Keď útočníci získajú cloudový prístup k týmto pracovným postupom, môžu rýchlo rozšíriť podvody a zároveň zanechať menej zjavné audítorské stopy, ktoré môžu obrancovia sledovať.

Ukazovatele kompromisu

  • Nevysvetlené vytváranie pravidiel doručenej pošty alebo automatické preposielanie na externé adresy.
  • Nové registrácie autentifikátorov alebo neočakávané registrácie zariadení v Entra ID.
  • Náhle zvýšenie vydávania darčekových kariet vysokej hodnoty alebo vydávania mimo bežných otváracích hodín.
  • Prístup k umiestneniam v SharePointe/OneDrive, ktoré uchovávajú pracovné postupy darčekových kariet, tabuľky alebo príručky VPN/IT administrátora.
  • Viaceré prihlásenia do poštových schránok z rôznych geolokácií alebo neznámych IP adries, ktoré nezodpovedajú bežnému správaniu používateľov.

Odporúčané obranné mechanizmy

  • Vynucujte viacfaktorovú autentifikáciu (hesla/FIDO2) odolnú voči phishingu a blokujte slabé druhé faktory, ktoré je možné zaregistrovať na diaľku.
  • Zvýšte hygienu identity: zakážte staršie overovanie, vyžadujte politiky podmieneného prístupu a používajte pracovné stanice s privilegovaným prístupom na správu.
  • Monitorovať a upozorňovať na pravidlá presmerovania poštových schránok, registrácie nových overovateľov/zariadení a anomálny prístup k aplikáciám na vydávanie darčekových kariet.
  • Uplatňujte čo najmenšie privilégiá pre vydávacie systémy a oddeľte pracovné postupy vydávania darčekových kariet od všeobecných obchodných poštových/dátových úložísk.

Záverečné hodnotenie

Kombinácia hĺbkového prieskumu, starostlivého zneužívania účtov, dlhých časov zotrvania a techník obchádzania MFA zo strany Jingle Thief z neho robí vysoko rizikového protivníka pre každú organizáciu, ktorá vydáva darčekové karty. Keďže skupina využíva cloudové funkcie identity a služieb namiesto hlučných exploitov koncových bodov, detekcia si vyžaduje dôsledné monitorovanie identity, prísne politiky MFA a kontroly prispôsobené na ochranu pracovných postupov vydávania. Uprednostnenie týchto obranných opatrení znižuje možnosť pre útočníkov potichu vydávať, vyberať hotovosť a zmiznúť.

Trendy

American Express – Pokus o prihlásenie bol...

Phishing, Spam
Kyberzločinci často zneužívajú známosť dôveryhodných značiek na to, aby nalákali nič netušiacich používateľov k odhaleniu citlivých informácií. Podvod „American Express – Pokus o prihlásenie bol zablokovaný“ je ukážkovým príkladom tejto taktiky. Tieto e-maily sa vydávajú za bezpečnostné upozornenia od spoločnosti American Express, tvrdia, že podozrivý pokus o prihlásenie bol zablokovaný, a...

Najviac videné

Načítava...