Multi-License Discount Quote
Banta sa Database Advanced Persistent Threat (APT) Jingle Thief Cybercrime Group

Jingle Thief Cybercrime Group

Sa pamamagitan ng Mezo sa Advanced Persistent Threat (APT)
Isalin To:

Ang Jingle Thief ay isang cybercriminal cluster na may motibasyon sa pananalapi na sinusubaybayan ng mga mananaliksik dahil sa mga naka-target, mababang-ingay na pag-atake nito sa mga cloud environment na ginagamit ng mga organisasyong nagbibigay ng mga gift card. Dahil ang mga gift card ay maaaring ma-redeem gamit ang maliit na personal na data at madaling ibenta, ang pagkompromiso sa mga daloy ng trabaho sa pag-isyu ay nagbibigay ng mabilis, mahirap-trace na mga cashout. Ang mga operasyon ng grupo ay kapansin-pansin sa mahabang panahon ng tirahan, maingat na pagmamanman, at isang kagustuhan para sa maling paggamit ng pagkakakilanlan kaysa sa tradisyunal na malware — isang kumbinasyon na nagpapalubha sa pagtuklas at pagtugon.

Sino Sila At Ano ang Tawag sa Kanila ng mga Mananaliksik

Nilagyan ng label ng mga security analyst ang cluster ng aktibidad na ito na CL‑CRI‑1032. Ang label ay nahahati bilang isang cluster ('CL') na hinimok ng criminal motivation ('CRI'). Ang mga pagtatasa ng pagpapatungkol, na ginawa nang may katamtamang kumpiyansa, ay nag-uugnay sa aktibidad sa mga kriminal na grupo na sinusubaybayan bilang Atlas Lion at Storm‑0539, na pinaniniwalaang tumatakbo mula sa Morocco at aktibo mula pa noong huling bahagi ng 2021. Ang palayaw na 'Jingle Thief' ay sumasalamin sa ugali ng grupo na mag-strike sa mga panahon ng holiday kapag tumaas ang demand ng gift-card at pressure ng issuer.

Mga Pangunahing Layunin At Profile ng Biktima

Nakatuon ang Jingle Thief sa mga organisasyon ng retail at consumer services na namamahala sa pagbibigay ng gift card sa mga cloud platform. Diretso lang ang kanilang endgame: makuha ang access na kailangan para mag-isyu ng mga gift card na may mataas na halaga, pagkatapos ay pagkakitaan ang mga card na iyon (karaniwang sa pamamagitan ng muling pagbebenta sa mga gray na merkado). Priyoridad nila ang pag-access na nagbibigay-daan sa kanila na magsagawa ng pagpapalabas sa sukat habang nag-iiwan ng kaunting forensic trail.

Mga Taktika, Teknik, at Pamamaraan (TTPs)

Sa halip na bumuo ng pasadyang malware, umaasa ang Jingle Thief sa social engineering at pag-abuso sa pagkakakilanlan sa cloud:

  • Pagnanakaw ng kredensyal: Gumagamit ang grupo ng mga pinasadyang phishing at smishing na kampanya upang makuha ang mga kredensyal ng Microsoft 365. Ang mga mensahe ay lubos na na-customize pagkatapos ng paunang pag-reconnaissance, kadalasang ginagaya ang mga abiso sa IT o mga update sa tiket upang taasan ang mga rate ng pag-click-through at pagsumite ng kredensyal.
  • Maling paggamit at pagpapanggap ng pagkakakilanlan: Kapag nakuha na ang mga kredensyal, magla-log in ang mga umaatake at magpapanggap bilang mga lehitimong user upang ma-access ang mga app na nagbibigay at sensitibong dokumentasyon. Sinadya nilang iwasan ang maingay na pagsasamantala sa endpoint pabor sa pang-aabuso sa cloud-native na account.
  • Reconnaissance at lateral na paggalaw: Pagkatapos ng paunang pag-access, imamapa nila ang cloud estate — ginagalugad ang SharePoint, OneDrive, mga gabay sa VPN, mga spreadsheet, at mga internal na daloy ng trabaho na ginagamit sa pag-isyu o pagsubaybay ng mga gift card — pagkatapos ay pinapataas ang mga pribilehiyo at lumipat sa gilid sa mga cloud account at serbisyo.

Pagtitiyaga At Mga Istratehiya sa Bypass ng MFA

Ang Jingle Thief ay nagpapanatili ng pangmatagalang foothold (mga buwan hanggang higit sa isang taon). Kasama sa mga sinusunod na diskarte sa pagtitiyaga ang paggawa ng mga panuntunan sa pagpapasa ng inbox, agad na paglipat ng mga ipinadalang mensahe ng phishing sa Mga Tinanggal na Item upang itago ang mga bakas, pagrerehistro ng mga rogue authenticator na app, at pag-enroll ng mga attacker device sa Entra ID. Ang mga pagkilos na ito ay nagbibigay-daan sa grupo na makaligtas sa mga pag-reset ng password at mga pagbawi ng token at muling maitatag ang access nang mabilis.

Mga Pattern at Scale ng Operasyon

Naobserbahan ng mga mananaliksik ang magkakaugnay na pag-atake noong Abril–Mayo 2025 na nagta-target ng maraming negosyo sa buong mundo. Sa isang campaign, naiulat na napanatili ng mga attacker ang access sa loob ng ~10 buwan at nakompromiso ang humigit-kumulang 60 user account sa isang kapaligiran ng biktima. Kadalasang direktang tina-target ng kanilang mga operasyon ang mga portal ng pagbibigay ng gift-card, na nagbibigay ng mga card sa maraming programa habang sinusubukang bawasan ang pag-log at forensic metadata.

Bakit Kaakit-akit ang Panloloko sa Gift Card

Ang mga gift card ay kaakit-akit sa mga manloloko dahil maaari silang tubusin o muling ibenta nang may kaunting data ng pagkakakilanlan, at ang kanilang mga daloy ng trabaho sa pagbibigay ay kadalasang hindi gaanong sinusubaybayan nang mahigpit kaysa sa mga sistema ng pagbabayad sa pananalapi. Kapag nakakuha ng cloud access ang mga attacker sa mga workflow na iyon, mabilis nilang masusukat ang panloloko habang nag-iiwan ng mga hindi gaanong halatang audit trail para sundin ng mga defender.

Mga Tagapagpahiwatig ng Kompromiso

  • Hindi maipaliwanag na paggawa ng mga panuntunan sa inbox o awtomatikong pagpapasa sa mga panlabas na address.
  • Mga bagong pagpaparehistro ng authenticator o hindi inaasahang pag-enroll ng device sa Entra ID.
  • Mga biglaang pagtaas sa pagbibigay o pagpapalabas ng gift card na may mataas na halaga sa labas ng mga normal na oras ng negosyo.
  • Access sa mga lokasyon ng SharePoint/OneDrive na nag-iimbak ng mga workflow, spreadsheet, o VPN/IT‑admin na gabay.
  • Maramihang mga pag-log in sa mailbox mula sa iba't ibang geolocation o hindi kilalang mga IP na hindi tumutugma sa normal na gawi ng user.

Inirerekomenda ang mga kontrol sa pagtatanggol

  • Ipatupad ang phishing-resistant MFA (passkeys/FIDO2) at i-block ang mahinang pangalawang salik na maaaring mairehistro nang malayuan.
  • Patigasin ang kalinisan ng pagkakakilanlan: huwag paganahin ang legacy na pagpapatotoo, nangangailangan ng mga patakaran sa pag-access ng may kondisyon, at gumamit ng mga privileged access na workstation para sa pangangasiwa.
  • Subaybayan at alerto sa mga panuntunan sa pagpapasa ng mailbox, mga bagong authenticator/device enrollment, at maanomalyang pag-access sa mga application sa pagbibigay ng gift-card.
  • Ilapat ang hindi bababa sa pribilehiyo sa mga sistema ng pag-isyu at paghiwalayin ang mga daloy ng trabaho sa pag-isyu ng gift-card mula sa mga pangkalahatang tindahan ng mail/data ng negosyo.

    • Pangwakas na Pagtatasa

    Ang kumbinasyon ng Jingle Thief ng malalim na pagmamanman, maingat na maling paggamit ng account, mahabang panahon ng tirahan, at mga diskarte sa bypass ng MFA ay ginagawa itong isang mataas na panganib na kalaban para sa anumang organisasyon na nag-isyu ng mga gift card. Dahil ang grupo ay gumagamit ng cloud identity at mga feature ng serbisyo sa halip na maingay na mga pagsasamantala sa endpoint, ang pagtuklas ay nangangailangan ng mapagbantay na pagsubaybay sa pagkakakilanlan, mahigpit na mga patakaran ng MFA, at mga kontrol na iniakma upang protektahan ang mga daloy ng trabaho sa pagpapalabas. Ang pagbibigay-priyoridad sa mga hakbang na ito sa pagtatanggol ay binabawasan ang pagkakataon para sa mga umaatake na tahimik na mag-isyu, mag-cash out, at mawala.

    Trending

    Pinaka Nanood

    Naglo-load...