Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Kërcënimi i avancuar i vazhdueshëm (APT) Jingle Thief Cybercrime Group

Jingle Thief Cybercrime Group

Nga MezoKërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Jingle Thief është një grup kriminal kibernetik i motivuar financiarisht që studiuesit e kanë ndjekur për shkak të sulmeve të tij të synuara dhe me zhurmë të ulët në mjediset cloud të përdorura nga organizatat që lëshojnë karta dhuratash. Meqenëse kartat dhuratë mund të shpengohen me pak të dhëna personale dhe janë të lehta për t'u rishitur, kompromentimi i rrjedhave të punës së lëshimit siguron tërheqje të shpejta dhe të vështira për t'u gjurmuar. Operacionet e grupit dallohen për kohëzgjatjen e gjatë të qëndrimit, zbulimin e kujdesshëm dhe një preferencë për keqpërdorimin e identitetit mbi malware tradicional - një kombinim që ndërlikon zbulimin dhe reagimin.

Kush janë ata dhe si i quajnë studiuesit

Analistët e sigurisë e etiketojnë këtë grup aktivitetesh CL‑CRI‑1032. Etiketa ndahet si një grup ('CL') i nxitur nga motivimi kriminal ('CRI'). Vlerësimet e atribuimit, të bëra me besim të moderuar, e lidhin aktivitetin me grupet kriminale të gjurmuara si Atlas Lion dhe Storm‑0539, që besohet se veprojnë nga Maroku dhe janë aktive të paktën që nga fundi i vitit 2021. Nofka 'Jingle Thief' pasqyron zakonin e grupit për të vepruar gjatë periudhave të festave kur rritet kërkesa për karta dhuratash dhe presioni ndaj emetuesit.

Objektivat Kryesore dhe Profili i Viktimës

Jingle Thief përqendrohet në organizatat e shitjes me pakicë dhe shërbimeve për konsumatorët që menaxhojnë lëshimin e kartave dhuratë në platformat cloud. Qëllimi i tyre përfundimtar është i thjeshtë: të marrin aksesin e nevojshëm për të lëshuar karta dhuratë me vlerë të lartë, pastaj të fitojnë para nga këto karta (zakonisht nëpërmjet rishitjes në tregjet gri). Ata i japin përparësi aksesit që i lejon ata të kryejnë lëshimin në shkallë të gjerë, duke lënë një gjurmë minimale mjeko-ligjore.

Taktikat, Teknikat dhe Procedurat (TTP)

Në vend që të zhvillojë programe keqdashëse të personalizuara, Jingle Thief mbështetet në inxhinierinë sociale dhe abuzimin me identitetin në cloud:

  • Vjedhja e kredencialeve: Grupi përdor fushata të personalizuara të phishing dhe smishing për të mbledhur kredencialet e Microsoft 365. Mesazhet personalizohen shumë pas zbulimit paraprak, shpesh duke imituar njoftimet e IT-së ose përditësimet e biletave për të rritur shkallën e klikimeve dhe të dorëzimit të kredencialeve.
  • Keqpërdorimi i identitetit dhe imitimi: Pasi të kapen kredencialet, sulmuesit hyjnë në sistem dhe imitojnë përdoruesit legjitimë për të hyrë në aplikacionet e lëshimit dhe dokumentacionin e ndjeshëm. Ata qëllimisht shmangin shfrytëzimet e zhurmshme të pikës fundore në favor të abuzimit me llogaritë cloud-native.
  • Zbulimi dhe lëvizja anësore: Pas aksesit fillestar, ata hartëzojnë zonën e cloud-it — duke eksploruar SharePoint, OneDrive, udhëzuesit VPN, spreadsheet-et dhe rrjedhat e punës së brendshme të përdorura për të lëshuar ose ndjekur kartat dhuratë — më pas përshkallëzojnë privilegjet dhe lëvizin anash nëpër llogaritë dhe shërbimet cloud.

Strategjitë e Këmbënguljes dhe Anashkalimit të MFA-së

Jingle Thief mban pozicione afatgjata (nga muaj deri në më shumë se një vit). Teknikat e vëzhguara të qëndrueshmërisë përfshijnë krijimin e rregullave të ridrejtimit të kutisë hyrëse, zhvendosjen menjëherë të mesazheve të dërguara të phishing te Deleted Items për të fshehur gjurmët, regjistrimin e aplikacioneve mashtruese të autentifikimit dhe regjistrimin e pajisjeve sulmuese në Entra ID. Këto veprime i lejojnë grupit të mbijetojë rivendosjes së fjalëkalimeve dhe revokimit të tokenëve dhe të rivendosë aksesin shpejt.

Modelet Operacionale dhe Shkalla

Studiuesit vunë re një rritje të koordinuar të sulmeve në prill-maj 2025 që synuan ndërmarrje të shumta në të gjithë botën. Në një fushatë, sulmuesit thuhet se ruajtën aksesin për ~10 muaj dhe kompromentuan afërsisht 60 llogari përdoruesish në një mjedis të vetëm viktimash. Operacionet e tyre shpesh synojnë drejtpërdrejt portalet e lëshimit të kartave dhuratë, duke lëshuar karta në programe të shumta, ndërsa përpiqen të minimizojnë regjistrimin dhe metadatat mjeko-ligjore.

Pse mashtrimi me kartat e dhuratave është tërheqës

Kartat dhuratë janë tërheqëse për mashtruesit sepse ato mund të shpengohen ose rishiten me të dhëna minimale identifikimi, dhe rrjedhat e punës së lëshimit të tyre shpesh monitorohen më pak se sistemet e pagesave financiare. Kur sulmuesit fitojnë akses në cloud në këto rrjedha pune, ata mund ta shkallëzojnë mashtrimin shpejt, duke lënë gjurmë auditimi më pak të dukshme për t'u ndjekur nga mbrojtësit.

Treguesit e Kompromisit

  • Krijim i pashpjegueshëm i rregullave të kutisë hyrëse ose ridrejtim automatik në adresa të jashtme.
  • Regjistrime të reja të autentifikuesit ose regjistrime të papritura të pajisjeve në Entra ID.
  • Rritje të papritura të lëshimit të kartave dhuratë me vlerë të lartë ose lëshimit jashtë orarit normal të punës.
  • Qasje në lokacionet e SharePoint/OneDrive që ruajnë rrjedhat e punës së kartave dhuratë, spreadsheet-et ose udhëzuesit e administrimit VPN/IT.
  • Hyrje të shumëfishta në kutinë postare nga vendndodhje të ndryshme gjeografike ose IP të panjohura që nuk përputhen me sjelljen normale të përdoruesit.

Kontrollet mbrojtëse të rekomanduara

  • Zbatoni MFA-në rezistente ndaj phishing-ut (çelësat e kalimit/FIDO2) dhe bllokoni faktorët e dytë të dobët që mund të regjistrohen nga distanca.
  • Forconi higjienën e identitetit: çaktivizoni autentifikimin e trashëguar, kërkoni politika të aksesit me kusht dhe përdorni stacione pune me akses të privilegjuar për administrim.
  • Monitoroni dhe njoftoni për rregullat e ridrejtimit të kutisë postare, regjistrimet e reja të autentifikuesit/pajisjeve dhe aksesin anormal në aplikacionet e lëshimit të kartave dhuratë.
  • Zbatoni privilegjin më të vogël për sistemet e lëshimit dhe veçoni rrjedhat e punës për lëshimin e kartave dhuratë nga depozitat e përgjithshme të postës/të dhënave të biznesit.

Vlerësimi Përfundimtar

Kombinimi i Jingle Thief me zbulim të thellë, keqpërdorim të kujdesshëm të llogarisë, kohë të gjata qëndrimi dhe teknika anashkalimi MFA e bën atë një kundërshtar me rrezik të lartë për çdo organizatë që lëshon karta dhuratash. Meqenëse grupi shfrytëzon veçoritë e identitetit dhe shërbimit në cloud në vend të shfrytëzimeve të zhurmshme të pikave fundore, zbulimi kërkon monitorim vigjilent të identitetit, politika të rrepta MFA dhe kontrolle të përshtatura për të mbrojtur rrjedhat e punës së lëshimit. Prioritizimi i këtyre masave mbrojtëse zvogëlon mundësinë që sulmuesit të lëshojnë, të tërheqin para dhe të zhduken në heshtje.

Në trend

American Express - Mashtrim për bllokimin e...

Fishing, Spam
Kriminelët kibernetikë shpesh shfrytëzojnë njohuritë e markave të besuara për të joshur përdoruesit e pavetëdijshëm që të zbulojnë informacione të ndjeshme. Mashtrimi 'American Express - Përpjekja e Hyrjes u Bllokua' është një shembull kryesor i kësaj taktike. Këto email-e imitojnë alarmet e sigurisë nga American Express, duke pretenduar se një përpjekje e dyshimtë hyrjeje është bllokuar dhe...

Më e shikuara

Po ngarkohet...