Popust za več licenc
Podjetje o grožnjah Napredna trajna grožnja (APT) Skupina za kibernetski kriminal Jingle Thief

Skupina za kibernetski kriminal Jingle Thief

Do leta Mezo leta Napredna trajna grožnja (APT)
Prevedi v:

Jingle Thief je finančno motivirana skupina kibernetskih kriminalcev, ki jo raziskovalci spremljajo zaradi njenih ciljno usmerjenih, tihih napadov na oblačna okolja, ki jih uporabljajo organizacije, ki izdajajo darilne kartice. Ker je darilne kartice mogoče unovčiti z malo osebnih podatkov in jih je enostavno prodati naprej, ogrožanje delovnih procesov izdajanja omogoča hitra in težko sledljiva izplačila. Delovanje skupine je znano po dolgih časih zadrževanja, skrbnem izvidovanju in nagnjenju k zlorabi identitete pred tradicionalno zlonamerno programsko opremo – kombinacija, ki otežuje odkrivanje in odzivanje.

Kdo so in kako jih imenujejo raziskovalci

Varnostni analitiki to gručo dejavnosti označujejo kot CL‑CRI‑1032. Oznaka se razdeli na gručo („CL“), ki jo poganja kriminalna motivacija („CRI“). Ocene pripisovanja, opravljene z zmerno gotovostjo, povezujejo dejavnost s kriminalnimi združbami, ki so bile sledene kot Atlas Lion in Storm‑0539, za katere se domneva, da delujejo iz Maroka in so aktivne vsaj od konca leta 2021. Vzdevek „Jingle Thief“ odraža navado skupine, da napada v času praznikov, ko se povpraševanje po darilnih karticah in pritisk izdajateljev povečata.

Primarni cilji in profil žrtve

Jingle Thief se osredotoča na organizacije za maloprodajo in potrošniške storitve, ki upravljajo izdajanje darilnih bonov v oblačnih platformah. Njihov cilj je preprost: pridobiti dostop, potreben za izdajanje darilnih bonov visoke vrednosti, nato pa te bone monetizirati (običajno s preprodajo na sivih trgih). Prednost dajejo dostopu, ki jim omogoča izdajanje v velikem obsegu, hkrati pa puščajo minimalno forenzično sled.

Taktike, tehnike in postopki (TTP)

Namesto razvoja zlonamerne programske opreme po meri se Jingle Thief zanaša na socialni inženiring in zlorabo identitete v oblaku:

  • Kraja poverilnic: Skupina uporablja prilagojene kampanje lažnega predstavljanja in smishinga za pridobivanje poverilnic za Microsoft 365. Sporočila so po predhodnem izvidovanju zelo prilagojena, pogosto posnemajo obvestila IT ali posodobitve zahtevkov, da se poveča stopnja klikov in oddaje poverilnic.
  • Zloraba identitete in lažno predstavljanje: Ko so poverilnice zajete, se napadalci prijavijo in se izdajajo za legitimne uporabnike, da bi dostopali do aplikacij za izdajo in občutljive dokumentacije. Namerno se izogibajo izkoriščanju hrupnih končnih točk v korist zlorabe računov v oblaku.
  • Izvidovanje in lateralno premikanje: Po začetnem dostopu preslikajo oblačno okolje – raziščejo SharePoint, OneDrive, vodnike za VPN, preglednice in interne poteke dela, ki se uporabljajo za izdajanje ali sledenje darilnim bonom – nato pa stopnjujejo privilegije in se lateralno premikajo med računi in storitvami v oblaku.

Vztrajnost in strategije obhoda večstranskih faz

Jingle Thief vzdržuje dolgoročne oporne točke (od nekaj mesecev do več kot enega leta). Opažene tehnike vztrajnosti vključujejo ustvarjanje pravil za posredovanje v mapi »Prejeto«, takojšnje premikanje poslanih lažnih sporočil v mapo »Izbrisano« za skrivanje sledi, registracijo lažnih aplikacij za preverjanje pristnosti in registracijo napadalčevih naprav v Entra ID. Ta dejanja skupini omogočajo, da preživi ponastavitve gesel in preklic žetonov ter hitro ponovno vzpostavi dostop.

Operativni vzorci in obseg

Raziskovalci so med aprilom in majem 2025 opazili usklajen porast napadov, ki so bili usmerjeni na več podjetij po vsem svetu. V eni kampanji so napadalci domnevno ohranili dostop približno 10 mesecev in ogrozili približno 60 uporabniških računov v enem samem okolju žrtve. Njihove operacije pogosto neposredno ciljajo na portale za izdajanje darilnih bonov, izdajajo kartice v več programih, hkrati pa poskušajo čim bolj zmanjšati beleženje in forenzične metapodatke.

Zakaj so goljufije z darilnimi karticami privlačne

Darilne kartice so privlačne za goljufe, ker jih je mogoče unovčiti ali preprodati z minimalnimi identifikacijskimi podatki, njihovi delovni tokovi izdaje pa so pogosto manj natančno nadzorovani kot pri finančnih plačilnih sistemih. Ko napadalci pridobijo dostop do teh delovnih tokov v oblaku, lahko hitro razširijo goljufije, hkrati pa pustijo manj očitne revizijske sledi, ki jim lahko branilci sledijo.

Kazalniki kompromisa

  • Nepojasnjeno ustvarjanje pravil za mapo »Prejeto« ali samodejno posredovanje na zunanje naslove.
  • Nove registracije overitelja ali nepričakovane registracije naprav v Entra ID.
  • Nenadno povečanje izdajanja darilnih bonov visoke vrednosti ali izdajanja izven rednega delovnega časa.
  • Dostop do lokacij SharePoint/OneDrive, kjer so shranjeni delovni tokovi za darilne kartice, preglednice ali vodniki za VPN/IT-skrbništvo.
  • Več prijav v poštni nabiralnik z različnih geolokacij ali neznanih IP-jev, ki ne ustrezajo običajnemu vedenju uporabnikov.

Priporočene obrambne kontrole

  • Uveljavite večfaktorsko preverjanje (gesla/FIDO2), odporno proti lažnemu predstavljanju, in blokirajte šibke druge dejavnike, ki jih je mogoče registrirati na daljavo.
  • Okrepite higieno identitete: onemogočite starejšo avtentikacijo, zahtevajte pravilnike o pogojnem dostopu in za administracijo uporabite delovne postaje s privilegiranim dostopom.
  • Spremljajte in opozarjajte na pravila posredovanja poštnih nabiralnikov, nove registracije overiteljev/naprav in nenavaden dostop do aplikacij za izdajo darilnih bonov.
  • Za sisteme izdajanja uporabite najmanj privilegijev in ločite poteke dela za izdajanje darilnih bonov od splošnih poslovnih poštnih/podatkovnih shramb.

Zaključna ocena

Jingle Thief s kombinacijo poglobljenega izvidovanja, skrbne zlorabe računov, dolgih časov zadrževanja in tehnik obhoda večfaktorske autentifikacije predstavlja visoko tveganega nasprotnika za vsako organizacijo, ki izdaja darilne kartice. Ker skupina uporablja funkcije identitete in storitev v oblaku namesto hrupnih izkoriščanj končnih točk, odkrivanje zahteva budno spremljanje identitete, stroge politike večfaktorske autentifikacije in kontrole, prilagojene zaščiti delovnih tokov izdajanja. Dajanje prednosti tem obrambnim ukrepom zmanjšuje možnost, da napadalci tiho izdajo, unovčijo in izginejo.

V trendu

American Express - Poskus prijave je bil blokiran -...

Lažno predstavljanje, Neželena pošta
Kibernetski kriminalci pogosto izkoriščajo poznavanje zaupanja vrednih blagovnih znamk, da zvabijo nič hudega sluteče uporabnike v razkritje občutljivih podatkov. Prevara »American Express – poskus prijave je bil blokiran« je odličen primer te taktike. Ta e-poštna sporočila posnemajo varnostna opozorila American Expressa, v katerih trdijo, da je bil sumljiv poskus prijave blokiran, in...

Najbolj gledan

Nalaganje...