กลุ่มอาชญากรรมไซเบอร์ขโมยจิงเกิล

Jingle Thief คือกลุ่มอาชญากรไซเบอร์ที่มุ่งหวังผลกำไรทางการเงิน ซึ่งนักวิจัยได้ติดตามมาอย่างต่อเนื่อง เนื่องจากการโจมตีแบบเจาะจงเป้าหมายและมีสัญญาณรบกวนต่ำบนสภาพแวดล้อมคลาวด์ที่องค์กรต่างๆ ใช้งานเพื่อออกบัตรของขวัญ เนื่องจากบัตรของขวัญสามารถแลกรับได้โดยใช้ข้อมูลส่วนบุคคลเพียงเล็กน้อยและขายต่อได้ง่าย เวิร์กโฟลว์การออกบัตรที่มีปัญหาจึงทำให้เกิดการจ่ายเงินที่รวดเร็วและยากต่อการติดตาม การดำเนินงานของกลุ่มนี้โดดเด่นด้วยระยะเวลาแฝงที่ยาวนาน การลาดตระเวนอย่างรอบคอบ และการใช้ข้อมูลส่วนบุคคลในทางที่ผิดมากกว่ามัลแวร์แบบเดิม ซึ่งเป็นปัจจัยที่ทำให้การตรวจจับและการตอบสนองมีความซับซ้อน

พวกเขาคือใครและนักวิจัยเรียกพวกเขาว่าอะไร

นักวิเคราะห์ด้านความปลอดภัยเรียกกลุ่มกิจกรรมนี้ว่า CL‑CRI‑1032 โดยแบ่งกลุ่มออกเป็นคลัสเตอร์ ('CL') ที่เกิดจากแรงจูงใจทางอาชญากรรม ('CRI') การประเมินการระบุแหล่งที่มาซึ่งดำเนินการด้วยความมั่นใจระดับปานกลาง เชื่อมโยงกิจกรรมนี้กับกลุ่มอาชญากรที่ติดตาม ได้แก่ Atlas Lion และ Storm‑0539 ซึ่งเชื่อว่าปฏิบัติการในโมร็อกโกและเคลื่อนไหวมาตั้งแต่ปลายปี 2021 เป็นอย่างน้อย ชื่อเล่น 'Jingle Thief' สะท้อนให้เห็นถึงพฤติกรรมของกลุ่มที่มักจะโจมตีในช่วงเทศกาลวันหยุด ซึ่งเป็นช่วงที่ความต้องการบัตรของขวัญและแรงกดดันจากผู้ออกบัตรเพิ่มขึ้น

วัตถุประสงค์หลักและโปรไฟล์เหยื่อ

Jingle Thief มุ่งเน้นไปที่องค์กรค้าปลีกและบริการผู้บริโภคที่บริหารจัดการการออกบัตรของขวัญบนแพลตฟอร์มคลาวด์ เป้าหมายของพวกเขานั้นตรงไปตรงมา นั่นคือการเข้าถึงข้อมูลที่จำเป็นเพื่อออกบัตรของขวัญมูลค่าสูง จากนั้นจึงนำบัตรเหล่านั้นไปสร้างรายได้ (โดยทั่วไปจะขายต่อในตลาดมืด) พวกเขาให้ความสำคัญกับการเข้าถึงข้อมูลที่ช่วยให้สามารถออกบัตรได้ในปริมาณมากโดยทิ้งร่องรอยการตรวจสอบทางนิติวิทยาศาสตร์ให้น้อยที่สุด

กลยุทธ์ เทคนิค และขั้นตอน (TTPs)

แทนที่จะพัฒนาซอฟต์แวร์ที่เป็นอันตราย Jingle Thief จะอาศัยการจัดการทางสังคมและการละเมิดข้อมูลประจำตัวบนคลาวด์:

• การขโมยข้อมูลประจำตัว: กลุ่มนี้ใช้แคมเปญฟิชชิ่งและสมิชชิ่งที่ปรับแต่งมาเป็นพิเศษเพื่อขโมยข้อมูลประจำตัว Microsoft 365 ข้อความจะถูกปรับแต่งอย่างละเอียดหลังจากการตรวจสอบเบื้องต้น ซึ่งมักจะเลียนแบบการแจ้งเตือนจากฝ่ายไอทีหรือการอัปเดตตั๋ว เพื่อเพิ่มอัตราการคลิกผ่านและการส่งข้อมูลประจำตัว
• การใช้ข้อมูลประจำตัวในทางที่ผิดและการปลอมแปลง: เมื่อเข้าถึงข้อมูลประจำตัวได้แล้ว ผู้โจมตีจะเข้าสู่ระบบและปลอมตัวเป็นผู้ใช้จริงเพื่อเข้าถึงแอปการออกเอกสารและเอกสารสำคัญ พวกเขาจงใจหลีกเลี่ยงช่องโหว่ของระบบปลายทางที่มีช่องโหว่ และเลือกใช้วิธีการใช้งานบัญชีบนคลาวด์ในทางที่ผิด
• การลาดตระเวนและการเคลื่อนตัวในแนวขวาง: หลังจากการเข้าถึงเบื้องต้น พวกเขาจะสร้างแผนที่พื้นที่คลาวด์โดยสำรวจ SharePoint, OneDrive, คำแนะนำ VPN, สเปรดชีต และเวิร์กโฟลว์ภายในที่ใช้ในการออกหรือติดตามบัตรของขวัญ จากนั้นจึงยกระดับสิทธิ์และเคลื่อนตัวในแนวขวางข้ามบัญชีและบริการบนคลาวด์

ความคงอยู่และกลยุทธ์การหลีกเลี่ยง MFA

Jingle Thief สามารถรักษาฐานที่มั่นระยะยาว (หลายเดือนถึงมากกว่าหนึ่งปี) เทคนิคการคงอยู่ที่พบ ได้แก่ การสร้างกฎการส่งต่อกล่องจดหมาย การย้ายข้อความฟิชชิ่งที่ส่งไปยังรายการที่ถูกลบทันทีเพื่อซ่อนร่องรอย การลงทะเบียนแอปพลิเคชันตรวจสอบสิทธิ์ปลอม และการลงทะเบียนอุปกรณ์ของผู้โจมตีใน Entra ID การดำเนินการเหล่านี้ช่วยให้กลุ่มสามารถอยู่รอดจากการรีเซ็ตรหัสผ่านและการเพิกถอนโทเค็น และสามารถสร้างการเข้าถึงใหม่ได้อย่างรวดเร็ว

รูปแบบและขนาดการดำเนินงาน

นักวิจัยสังเกตเห็นการโจมตีแบบประสานกันที่เพิ่มขึ้นในช่วงเดือนเมษายน-พฤษภาคม 2568 ซึ่งมุ่งเป้าไปที่องค์กรหลายแห่งทั่วโลก ในแคมเปญหนึ่ง มีรายงานว่าผู้โจมตีสามารถรักษาสิทธิ์การเข้าถึงไว้ได้นานถึงประมาณ 10 เดือน และโจมตีบัญชีผู้ใช้ได้ประมาณ 60 บัญชีในสภาพแวดล้อมของเหยื่อรายเดียว ปฏิบัติการของพวกเขามักมุ่งเป้าไปที่พอร์ทัลการออกบัตรของขวัญโดยตรง โดยออกบัตรผ่านหลายโปรแกรม ขณะเดียวกันก็พยายามลดการบันทึกข้อมูลและเมตาดาต้าทางนิติวิทยาศาสตร์ให้เหลือน้อยที่สุด

ทำไมการฉ้อโกงบัตรของขวัญจึงน่าสนใจ

บัตรของขวัญเป็นที่สนใจของเหล่ามิจฉาชีพ เพราะสามารถนำไปแลกหรือขายต่อได้โดยใช้ข้อมูลประจำตัวเพียงเล็กน้อย และขั้นตอนการทำงานในการออกบัตรของขวัญมักมีการตรวจสอบอย่างเข้มงวดน้อยกว่าระบบการชำระเงินทางการเงิน เมื่อผู้โจมตีสามารถเข้าถึงขั้นตอนการทำงานเหล่านี้บนคลาวด์ได้ พวกเขาสามารถขยายขอบเขตการฉ้อโกงได้อย่างรวดเร็ว ขณะเดียวกันก็ทิ้งร่องรอยการตรวจสอบที่ไม่ค่อยชัดเจนไว้ให้ฝ่ายป้องกันสามารถติดตามได้

ตัวบ่งชี้การประนีประนอม

• การสร้างกฎกล่องจดหมายหรือการส่งต่ออัตโนมัติไปยังที่อยู่ภายนอกโดยไม่ได้อธิบาย
• การลงทะเบียนตัวตรวจสอบสิทธิ์ใหม่หรือการลงทะเบียนอุปกรณ์ที่ไม่คาดคิดใน Entra ID
• การเพิ่มขึ้นอย่างกะทันหันของการออกบัตรของขวัญมูลค่าสูงหรือการออกนอกเวลาทำการปกติ
• การเข้าถึงตำแหน่งที่ตั้ง SharePoint/OneDrive ที่เก็บเวิร์กโฟลว์บัตรของขวัญ สเปรดชีต หรือคำแนะนำสำหรับผู้ดูแลระบบ VPN/IT
• การเข้าสู่ระบบกล่องจดหมายหลายกล่องจากตำแหน่งทางภูมิศาสตร์ที่แตกต่างกันหรือ IP ที่ไม่รู้จักซึ่งไม่ตรงกับพฤติกรรมของผู้ใช้ปกติ

การควบคุมการป้องกันที่แนะนำ

• บังคับใช้ MFA ที่ทนต่อการฟิชชิ่ง (รหัสผ่าน/FIDO2) และบล็อกปัจจัยที่สองที่อ่อนแอซึ่งสามารถลงทะเบียนจากระยะไกลได้
• เสริมสร้างสุขอนามัยของข้อมูลประจำตัว: ปิดการใช้งานการตรวจสอบสิทธิ์แบบเดิม กำหนดนโยบายการเข้าถึงแบบมีเงื่อนไข และใช้เวิร์กสเตชันการเข้าถึงที่มีสิทธิพิเศษสำหรับการดูแลระบบ
• ตรวจสอบและแจ้งเตือนกฎการส่งต่อกล่องจดหมาย การลงทะเบียนตัวตรวจสอบสิทธิ์/อุปกรณ์ใหม่ และการเข้าถึงที่ผิดปกติในแอปพลิเคชันการออกบัตรของขวัญ

การประเมินปิดท้าย

การผสมผสานระหว่างการสอดแนมอย่างละเอียด การใช้บัญชีในทางที่ผิดอย่างระมัดระวัง ระยะเวลาการรอนาน และเทคนิคการหลบเลี่ยง MFA ของ Jingle Thief ทำให้เป็นศัตรูที่มีความเสี่ยงสูงสำหรับองค์กรใดๆ ที่ออกบัตรของขวัญ เนื่องจากกลุ่มนี้ใช้ประโยชน์จากฟีเจอร์การระบุตัวตนและบริการบนคลาวด์ แทนที่จะใช้ประโยชน์จากช่องโหว่ปลายทางที่มีช่องโหว่ การตรวจจับจึงจำเป็นต้องมีการตรวจสอบตัวตนอย่างเข้มงวด นโยบาย MFA ที่เข้มงวด และการควบคุมที่ปรับแต่งมาเพื่อปกป้องเวิร์กโฟลว์การออกบัตร การให้ความสำคัญกับมาตรการป้องกันเหล่านี้ช่วยลดโอกาสที่ผู้โจมตีจะออกบัตรอย่างเงียบๆ ถอนเงินสด และหายตัวไป