Rabattoffert för flera licenser
Hotdatabas Advanced Persistent Threat (APT) Jingle Thief Cyberbrottsgrupp

Jingle Thief Cyberbrottsgrupp

Med Mezo år Advanced Persistent Threat (APT)
Översätt till:

Jingle Thief är ett ekonomiskt motiverat cyberkriminellt kluster som forskare har spårat på grund av dess riktade, tystgående attacker mot molnmiljöer som används av organisationer som utfärdar presentkort. Eftersom presentkort kan lösas in med lite personuppgifter och är enkla att sälja vidare, ger komprometterade utfärdandearbetsflöden snabba, svårspårade uttag. Gruppens verksamhet kännetecknas av långa uppehållstider, noggrann rekognoscering och en preferens för identitetsmissbruk framför traditionell skadlig kod – en kombination som komplicerar upptäckt och respons.

Vilka de är och vad forskare kallar dem

Säkerhetsanalytiker kallar detta aktivitetskluster CL-CRI-1032. Etiketten delas upp som ett kluster ('CL') drivet av kriminell motivation ('CRI'). Attribueringsbedömningar, gjorda med måttlig säkerhet, kopplar aktiviteten till kriminella grupper som spåras som Atlas Lion och Storm-0539, som tros verka från Marocko och vara aktiva sedan åtminstone slutet av 2021. Smeknamnet 'Jingle Thief' återspeglar gruppens vana att slå till runt helgdagar när efterfrågan på presentkort och trycket från utgivare ökar.

Primära mål och offerprofil

Jingle Thief fokuserar på detaljhandels- och konsumenttjänsteorganisationer som hanterar utgivning av presentkort i molnplattformar. Deras slutmål är enkelt: att få den åtkomst som behövs för att utfärda presentkort av högt värde, och sedan tjäna pengar på dessa kort (vanligtvis via återförsäljning på grå marknader). De prioriterar åtkomst som låter dem utföra utgivningar i stor skala samtidigt som de lämnar ett minimalt spår av efterforskningar.

Taktik, tekniker och procedurer (TTP)

Istället för att utveckla skräddarsydd skadlig programvara förlitar sig Jingle Thief på social ingenjörskonst och missbruk av molnidentiteter:

  • Stöld av autentiseringsuppgifter: Gruppen använder skräddarsydda nätfiske- och smishing-kampanjer för att stjäla Microsoft 365-autentiseringsuppgifter. Meddelanden anpassas noggrant efter preliminär rekognoscering och härmar ofta IT-meddelanden eller ärendeuppdateringar för att öka klickfrekvensen och antalet inskickade autentiseringsuppgifter.
  • Missbruk av identitet och personifiering: När inloggningsuppgifter har samlats in loggar angripare in och utger sig för att vara legitima användare för att få åtkomst till utfärdandeappar och känslig dokumentation. De undviker medvetet bullriga slutpunktsexploateringar till förmån för missbruk av molnbaserade konton.
  • Rekognoscering och lateral förflyttning: Efter initial åtkomst kartlägger de molnområdet – utforskar SharePoint, OneDrive, VPN-guider, kalkylblad och interna arbetsflöden som används för att utfärda eller spåra presentkort – och eskalerar sedan behörigheter och förflyttar sig lateralt mellan molnkonton och -tjänster.

Persistens och MFA-förbikopplingsstrategier

Jingle Thief har långvariga tillgångar (månader till mer än ett år). Observerade persistenstekniker inkluderar att skapa regler för vidarebefordran av inkorgen, omedelbart flytta skickade nätfiskemeddelanden till Borttagna objekt för att dölja spår, registrera otillåtna autentiseringsappar och registrera angriparenheter i Entra ID. Dessa åtgärder gör att gruppen kan överleva lösenordsåterställningar och återkallade tokens och snabbt återställa åtkomsten.

Operativa mönster och skala

Forskare observerade en samordnad våg av attacker i april–maj 2025 som riktade sig mot flera företag världen över. I en kampanj behöll angriparna enligt uppgift åtkomst i ~10 månader och komprometterade ungefär 60 användarkonton i en enda offermiljö. Deras operationer riktar sig ofta direkt mot portaler för utfärdande av presentkort, och utfärdar kort över flera program samtidigt som de försöker minimera loggning och forensisk metadata.

Varför presentkortsbedrägerier är attraktiva

Presentkort är attraktiva för bedragare eftersom de kan lösas in eller säljas vidare med minimal identifieringsdata, och deras utfärdandearbetsflöden övervakas ofta mindre noggrant än finansiella betalningssystem. När angripare får molnåtkomst till dessa arbetsflöden kan de skala upp bedrägerier snabbt samtidigt som de lämnar mindre uppenbara revisionsspår för försvarare att följa.

Indikatorer för kompromiss

  • Oförklarligt skapande av inkorgsregler eller automatisk vidarebefordran till externa adresser.
  • Nya autentiseringsregistreringar eller oväntade enhetsregistreringar i Entra ID.
  • Plötsliga ökningar av utfärdande av presentkort av högt värde eller utfärdande utanför normal öppettid.
  • Åtkomst till SharePoint/OneDrive-platser som lagrar arbetsflöden för presentkort, kalkylblad eller VPN-/IT-administratörsguider.
  • Flera inloggningar till postlådor från olika geoplatser eller okända IP-adresser som inte matchar normalt användarbeteende.

Rekommenderade defensiva kontroller

  • Tillämpa nätfiskeresistent MFA (lösenord/FIDO2) och blockera svaga sekundära faktorer som kan registreras på distans.
  • Förstärk identitetshygien: inaktivera äldre autentisering, kräv villkorlig åtkomst och använd arbetsstationer med privilegierad åtkomst för administration.
  • Övervaka och varna för regler för vidarebefordran av brevlådor, nya autentiserings-/enhetsregistreringar och onormal åtkomst till presentkortsutfärdandeapplikationer.
  • Tillämpa lägsta möjliga behörighet på utfärdandesystem och separera arbetsflöden för utfärdande av presentkort från allmänna företagspost-/datalager.

Avslutande bedömning

Jingle Thiefs kombination av djupgående rekognoscering, noggrant kontomissbruk, långa uppehållstider och MFA-bypass-tekniker gör det till en högriskmotståndare för alla organisationer som utfärdar presentkort. Eftersom gruppen utnyttjar molnidentitet och tjänstefunktioner snarare än bullriga endpoint-exploateringar kräver upptäckt noggrann identitetsövervakning, strikta MFA-policyer och kontroller skräddarsydda för att skydda utfärdandearbetsflöden. Att prioritera dessa defensiva åtgärder minskar möjligheten för angripare att i tysthet utfärda, ta ut pengar och försvinna.

Trendigt

American Express - Inloggningsförsök blockerades, bluff

Nätfiske, Spam
Cyberbrottslingar utnyttjar ofta förtroligheten hos betrodda varumärken för att locka intet ont anande användare att avslöja känslig information. Bedrägeriet "American Express - Inloggningsförsök blockerades" är ett utmärkt exempel på denna taktik. Dessa e-postmeddelanden utger sig för att vara säkerhetsvarningar från American Express, hävdar att ett misstänkt inloggningsförsök blockerades och...

Mest sedda

Läser in...