Група за сајбер криминал Џингл Тиф

Џингл Тиф је финансијски мотивисани сајбер криминални кластер који истраживачи прате због његових циљаних, тихих напада на облачна окружења која користе организације које издају поклон картице. Пошто се поклон картице могу искористити са мало личних података и лако се препродају, угрожавање токова рада издавања омогућава брзе, тешко пративе исплате. Операције групе су познате по дугом времену задржавања, пажљивом извиђању и склоности ка злоупотреби идентитета у односу на традиционални малвер – комбинација која компликује откривање и реаговање.

Ко су они и како их истраживачи називају

Безбедносни аналитичари означавају овај кластер активности као CL‑CRI‑1032. Ознака се разлаже као кластер („CL“) вођен криминалном мотивацијом („CRI“). Процене атрибуције, урађене са умереном сигурношћу, повезују активност са криминалним групама праћеним као Атлас Лајон и Сторм‑0539, за које се верује да делују из Марока и да су активне најмање од краја 2021. године. Надимак „Џингл лопов“ одражава навику групе да напада током празничних периода када потражња за поклон картицама и притисак издаваоца расту.

Примарни циљеви и профил жртве

Jingle Thief се фокусира на малопродајне и организације за потрошачке услуге које управљају издавањем поклон картица на cloud платформама. Њихов циљ је једноставан: добити приступ потребан за издавање поклон картица високе вредности, а затим монетизовати те картице (обично путем препродаје на сивом тржишту). Они дају приоритет приступу који им омогућава да врше издавање у великим размерама, остављајући минималан форензички траг.

Тактике, технике и поступци (ТТП)

Уместо развоја злонамерног софтвера по мери, Jingle Thief се ослања на друштвени инжењеринг и злоупотребу идентитета у облаку:

• Крађа акредитива: Група користи прилагођене фишинг и smishing кампање за прикупљање Microsoft 365 акредитива. Поруке су веома прилагођене након прелиминарног извиђања, често имитирајући ИТ обавештења или ажурирања захтева како би се повећале стопе кликова и слања акредитива.
• Злоупотреба идентитета и лажно представљање: Након што се акредитиви забележе, нападачи се пријављују и представљају се као легитимни корисници како би приступили апликацијама за издавање података и осетљивој документацији. Они намерно избегавају експлоатације бучних крајњих тачака у корист злоупотребе налога у облаку.
• Извиђање и латерално кретање: Након почетног приступа, мапирају облачно имање — истражујући SharePoint, OneDrive, VPN водиче, табеле и интерне токове рада који се користе за издавање или праћење поклон картица — затим ескалирају привилегије и крећу се латерално између облачних налога и услуга.

Упорност и стратегије заобилажења МФА

Jingle Thief одржава дугорочне позиције (од месеци до више од годину дана). Уочене технике истрајности укључују креирање правила прослеђивања пријемног сандучета, тренутно премештање послатих фишинг порука у „Избрисане ставке“ ради скривања трагова, регистровање лажних апликација за аутентификацију и уписивање уређаја нападача у Entra ID. Ове радње омогућавају групи да преживи ресетовање лозинки и опозиве токена и да брзо поново успостави приступ.

Оперативни обрасци и обим

Истраживачи су приметили координисани талас напада у априлу и мају 2025. године који су циљали више предузећа широм света. У једној кампањи, нападачи су наводно задржали приступ око 10 месеци и угрозили око 60 корисничких налога у једном окружењу жртве. Њихове операције често директно циљају портале за издавање поклон картица, издајући картице у више програма, покушавајући да минимизирају евидентирање и форензичке метаподатке.

Зашто је превара са поклон картицама привлачна

Поклон картице су привлачне преварантима јер се могу искористити или препродати уз минималне идентификационе податке, а њихови токови рада са издавањем често се мање строго надгледају него системи финансијских плаћања. Када нападачи добију приступ тим токовима рада у облаку, могу брзо да прошире превару, остављајући мање очигледне ревизорске трагове које бранитељи могу да прате.

Индикатори компромиса

• Необјашњиво креирање правила за пријемно сандуче или аутоматско прослеђивање на спољне адресе.
• Нове регистрације аутентификатора или неочекиване регистрације уређаја у Entra ID-у.
• Изненадно повећање издавања поклон картица велике вредности или издавања ван редовног радног времена.
• Приступ SharePoint/OneDrive локацијама које чувају токове рада са поклон-картицама, табеле или VPN/IT администраторске водиче.
• Вишеструке пријаве на поштанске сандучиће са различитих геолокација или непознатих ИП адреса које не одговарају нормалном понашању корисника.

Препоручене одбрамбене контроле

• Примените вишефакторску аутентификацију (лозинке/FIDO2) отпорну на фишинг и блокирајте слабе друге факторе који се могу регистровати даљински.
• Пооштрите хигијену идентитета: онемогућите застарелу аутентификацију, захтевајте политике условног приступа и користите радне станице са привилегованим приступом за администрацију.
• Пратите и упозоравајте о правилима прослеђивања поштанских сандучића, новим регистрацијама аутентификатора/уређаја и аномалном приступу апликацијама за издавање поклон картица.

Завршна процена

Комбинација дубинског извиђања, пажљиве злоупотребе налога, дугог времена задржавања и техника заобилажења вишеструких офанзивних мера (MFA) компаније Jingle Thief чини је противником високог ризика за сваку организацију која издаје поклон картице. Пошто група користи функције идентитета и услуга у облаку, а не бучне експлоатације крајњих тачака, откривање захтева пажљиво праћење идентитета, строге MFA политике и контроле прилагођене заштити токова рада издавања. Давање приоритета овим одбрамбеним мерама смањује могућност да нападачи тихо издају, уновче и нестану.