జింగిల్ థీఫ్ సైబర్ క్రైమ్ గ్రూప్

జింగిల్ థీఫ్ అనేది ఆర్థికంగా ప్రేరేపించబడిన సైబర్ నేరస్థుల సమూహం, గిఫ్ట్ కార్డ్‌లను జారీ చేసే సంస్థలు ఉపయోగించే క్లౌడ్ వాతావరణాలపై లక్ష్యంగా చేసుకున్న, తక్కువ శబ్దం దాడుల కారణంగా పరిశోధకులు దీనిని ట్రాక్ చేస్తున్నారు. గిఫ్ట్ కార్డ్‌లను తక్కువ వ్యక్తిగత డేటాతో రీడీమ్ చేయవచ్చు మరియు తిరిగి అమ్మడం సులభం కాబట్టి, జారీ వర్క్‌ఫ్లోలను రాజీ చేయడం వల్ల వేగవంతమైన, ట్రేస్ చేయడానికి కష్టతరమైన క్యాష్‌అవుట్‌లు లభిస్తాయి. సమూహం యొక్క కార్యకలాపాలు దీర్ఘకాలిక నివాస సమయాలు, జాగ్రత్తగా నిఘా మరియు సాంప్రదాయ మాల్వేర్ కంటే గుర్తింపు దుర్వినియోగానికి ప్రాధాన్యతనిస్తాయి - ఇది గుర్తింపు మరియు ప్రతిస్పందనను క్లిష్టతరం చేసే కలయిక.

వారు ఎవరు మరియు పరిశోధకులు వారిని ఏమని పిలుస్తారు

భద్రతా విశ్లేషకులు ఈ కార్యాచరణ క్లస్టర్‌ను CL‑CRI‑1032 అని లేబుల్ చేస్తారు. ఈ లేబుల్ నేర ప్రేరణ ('CRI') ద్వారా నడిచే క్లస్టర్ ('CL')గా విభజించబడింది. మితమైన విశ్వాసంతో చేసిన అట్రిబ్యూషన్ అసెస్‌మెంట్‌లు, మొరాకో నుండి పనిచేస్తున్నట్లు మరియు కనీసం 2021 చివరి నుండి చురుకుగా ఉన్నట్లు నమ్ముతున్న అట్లాస్ లయన్ మరియు స్టార్మ్‑0539గా ట్రాక్ చేయబడిన నేర సమూహాలతో కార్యాచరణను అనుసంధానిస్తాయి. 'జింగిల్ థీఫ్' అనే మారుపేరు బహుమతి-కార్డ్ డిమాండ్ మరియు జారీదారు ఒత్తిడి పెరిగినప్పుడు సెలవు సమయాల్లో దాడి చేసే సమూహం యొక్క అలవాటును ప్రతిబింబిస్తుంది.

ప్రాథమిక లక్ష్యాలు మరియు బాధితుల ప్రొఫైల్

జింగిల్ థీఫ్ క్లౌడ్ ప్లాట్‌ఫామ్‌లలో గిఫ్ట్ కార్డ్ జారీని నిర్వహించే రిటైల్ మరియు వినియోగదారు సేవల సంస్థలపై దృష్టి పెడుతుంది. వారి అంతిమ లక్ష్యం సూటిగా ఉంటుంది: అధిక-విలువ గల గిఫ్ట్ కార్డ్‌లను జారీ చేయడానికి అవసరమైన యాక్సెస్‌ను పొందడం, ఆపై ఆ కార్డులను డబ్బు ఆర్జించడం (సాధారణంగా గ్రే మార్కెట్‌లలో పునఃవిక్రయం ద్వారా). కనీస ఫోరెన్సిక్ ట్రయల్‌ను వదిలివేస్తూ స్కేల్‌లో జారీని నిర్వహించడానికి అనుమతించే యాక్సెస్‌కు వారు ప్రాధాన్యత ఇస్తారు.

వ్యూహాలు, సాంకేతికతలు మరియు విధానాలు (TTPలు)

బెస్పోక్ మాల్వేర్‌ను అభివృద్ధి చేయడానికి బదులుగా, జింగిల్ థీఫ్ సోషల్ ఇంజనీరింగ్ మరియు క్లౌడ్ గుర్తింపు దుర్వినియోగంపై ఆధారపడుతుంది:

• ఆధారాల దొంగతనం: ఈ బృందం మైక్రోసాఫ్ట్ 365 ఆధారాలను సేకరించడానికి అనుకూలీకరించిన ఫిషింగ్ మరియు స్మిషింగ్ ప్రచారాలను ఉపయోగిస్తుంది. ప్రాథమిక నిఘా తర్వాత సందేశాలు బాగా అనుకూలీకరించబడతాయి, తరచుగా క్లిక్-త్రూ మరియు ఆధారాల సమర్పణ రేట్లను పెంచడానికి IT నోటీసులు లేదా టికెట్ నవీకరణలను అనుకరిస్తాయి.
• గుర్తింపు దుర్వినియోగం మరియు అనుకరణ: ఆధారాలు సంగ్రహించబడిన తర్వాత, దాడి చేసేవారు లాగిన్ అయి, జారీ యాప్‌లు మరియు సున్నితమైన డాక్యుమెంటేషన్‌ను యాక్సెస్ చేయడానికి చట్టబద్ధమైన వినియోగదారుల వలె అనుకరిస్తారు. వారు ఉద్దేశపూర్వకంగా క్లౌడ్-స్థానిక ఖాతా దుర్వినియోగానికి అనుకూలంగా ధ్వనించే ఎండ్‌పాయింట్ దోపిడీలను నివారిస్తారు.
• నిఘా మరియు పార్శ్వ కదలిక: ప్రారంభ యాక్సెస్ తర్వాత, వారు క్లౌడ్ ఎస్టేట్‌ను మ్యాప్ చేస్తారు - షేర్‌పాయింట్, వన్‌డ్రైవ్, VPN గైడ్‌లు, స్ప్రెడ్‌షీట్‌లు మరియు గిఫ్ట్ కార్డ్‌లను జారీ చేయడానికి లేదా ట్రాక్ చేయడానికి ఉపయోగించే అంతర్గత వర్క్‌ఫ్లోలను అన్వేషిస్తారు - ఆపై ప్రత్యేక హక్కులను పెంచుతారు మరియు క్లౌడ్ ఖాతాలు మరియు సేవల అంతటా పార్శ్వంగా కదులుతారు.

పట్టుదల మరియు MFA బైపాస్ వ్యూహాలు

జింగిల్ థీఫ్ దీర్ఘకాలిక స్థావరాలను (నెలల నుండి ఒక సంవత్సరం కంటే ఎక్కువ) కొనసాగిస్తుంది. గమనించిన పట్టుదల పద్ధతుల్లో ఇన్‌బాక్స్ ఫార్వార్డింగ్ నియమాలను సృష్టించడం, పంపిన ఫిషింగ్ సందేశాలను తొలగించబడిన అంశాలకు వెంటనే తరలించడం, ట్రేస్‌లను దాచడానికి రోగ్ ప్రామాణీకరణ యాప్‌లను నమోదు చేయడం మరియు దాడి చేసే పరికరాలను ఎంట్రా IDలో నమోదు చేయడం వంటివి ఉన్నాయి. ఈ చర్యలు సమూహం పాస్‌వర్డ్ రీసెట్‌లు మరియు టోకెన్ ఉపసంహరణలను తట్టుకుని నిలబడటానికి మరియు యాక్సెస్‌ను త్వరగా తిరిగి స్థాపించడానికి అనుమతిస్తాయి.

ఆపరేషనల్ ప్యాటర్న్స్ మరియు స్కేల్

2025 ఏప్రిల్-మే నెలల్లో ప్రపంచవ్యాప్తంగా బహుళ సంస్థలను లక్ష్యంగా చేసుకుని దాడుల సమన్వయ పెరుగుదలను పరిశోధకులు గమనించారు. ఒక ప్రచారంలో, దాడి చేసేవారు ~10 నెలల పాటు యాక్సెస్‌ను నిలుపుకున్నారని మరియు ఒకే బాధిత వాతావరణంలో దాదాపు 60 యూజర్ ఖాతాలను రాజీ పడ్డారని నివేదించబడింది. వారి కార్యకలాపాలు తరచుగా గిఫ్ట్-కార్డ్ జారీ పోర్టల్‌లను నేరుగా లక్ష్యంగా చేసుకుంటాయి, లాగింగ్ మరియు ఫోరెన్సిక్ మెటాడేటాను తగ్గించడానికి ప్రయత్నిస్తూ బహుళ ప్రోగ్రామ్‌లలో కార్డులను జారీ చేస్తాయి.

గిఫ్ట్ కార్డ్ మోసం ఎందుకు ఆకర్షణీయంగా ఉంటుంది?

గిఫ్ట్ కార్డులను మోసగాళ్లకు ఆకర్షణీయంగా ఉంటాయి ఎందుకంటే వాటిని కనీస గుర్తింపు డేటాతో రీడీమ్ చేయవచ్చు లేదా తిరిగి అమ్మవచ్చు మరియు వాటి జారీ వర్క్‌ఫ్లోలు తరచుగా ఆర్థిక చెల్లింపు వ్యవస్థల కంటే తక్కువ కఠినంగా పర్యవేక్షించబడతాయి. దాడి చేసేవారు ఆ వర్క్‌ఫ్లోలకు క్లౌడ్ యాక్సెస్ పొందినప్పుడు, వారు మోసాన్ని త్వరగా స్కేల్ చేయవచ్చు మరియు రక్షకులు అనుసరించడానికి తక్కువ స్పష్టమైన ఆడిట్ ట్రయల్స్‌ను వదిలివేస్తారు.

రాజీ సూచికలు

• వివరించలేని ఇన్‌బాక్స్ నియమాల సృష్టి లేదా బాహ్య చిరునామాలకు ఆటోమేటిక్ ఫార్వార్డింగ్.
• ఎంట్రా IDలో కొత్త ప్రామాణీకరణదారు రిజిస్ట్రేషన్‌లు లేదా ఊహించని పరికర నమోదులు.
• అధిక విలువ కలిగిన గిఫ్ట్ కార్డ్ జారీ లేదా సాధారణ వ్యాపార సమయాల వెలుపల జారీలో ఆకస్మిక పెరుగుదల.
• గిఫ్ట్-కార్డ్ వర్క్‌ఫ్లోలు, స్ప్రెడ్‌షీట్‌లు లేదా VPN/IT-అడ్మిన్ గైడ్‌లను నిల్వ చేసే SharePoint/OneDrive స్థానాలకు యాక్సెస్.
• సాధారణ వినియోగదారు ప్రవర్తనకు సరిపోలని విభిన్న భౌగోళిక స్థానాల నుండి లేదా తెలియని IPల నుండి బహుళ మెయిల్‌బాక్స్ లాగిన్‌లు.

సిఫార్సు చేయబడిన రక్షణ నియంత్రణలు

• ఫిషింగ్ నిరోధక MFA (పాస్‌కీలు/FIDO2) ను అమలు చేయండి మరియు రిమోట్‌గా నమోదు చేయగల బలహీనమైన రెండవ కారకాలను బ్లాక్ చేయండి.
• గుర్తింపు పరిశుభ్రతను కఠినతరం చేయండి: లెగసీ ప్రామాణీకరణను నిలిపివేయండి, షరతులతో కూడిన యాక్సెస్ విధానాలను అభ్యర్థించండి మరియు పరిపాలన కోసం ప్రివిలేజ్డ్ యాక్సెస్ వర్క్‌స్టేషన్‌లను ఉపయోగించండి.
• మెయిల్‌బాక్స్ ఫార్వార్డింగ్ నియమాలు, కొత్త ప్రామాణీకరణదారు/పరికర నమోదులు మరియు బహుమతి-కార్డ్ జారీ అప్లికేషన్‌లకు అసాధారణ యాక్సెస్‌పై పర్యవేక్షించండి మరియు అప్రమత్తం చేయండి.

ముగింపు అంచనా

జింగిల్ థీఫ్ యొక్క లోతైన నిఘా, జాగ్రత్తగా ఖాతా దుర్వినియోగం, ఎక్కువసేపు నివసించే సమయాలు మరియు MFA బైపాస్ పద్ధతుల కలయిక గిఫ్ట్ కార్డ్‌లను జారీ చేసే ఏ సంస్థకైనా దానిని అధిక-రిస్క్ ప్రత్యర్థిగా చేస్తుంది. సమూహం ధ్వనించే ఎండ్‌పాయింట్ దోపిడీల కంటే క్లౌడ్ గుర్తింపు మరియు సేవా లక్షణాలను ఉపయోగిస్తుంది కాబట్టి, గుర్తింపుకు అప్రమత్తమైన గుర్తింపు పర్యవేక్షణ, కఠినమైన MFA విధానాలు మరియు జారీ వర్క్‌ఫ్లోలను రక్షించడానికి రూపొందించిన నియంత్రణలు అవసరం. ఈ రక్షణాత్మక చర్యలకు ప్రాధాన్యత ఇవ్వడం వలన దాడి చేసేవారు నిశ్శబ్దంగా జారీ చేయడానికి, నగదును తొలగించడానికి మరియు అదృశ్యమయ్యే అవకాశాన్ని తగ్గిస్తుంది.