Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Gelişmiş Sürekli Tehdit (APT) Jingle Thief Siber Suç Grubu

Jingle Thief Siber Suç Grubu

Mezo'de Gelişmiş Sürekli Tehdit (APT)'de
Çevir:

Jingle Thief, araştırmacıların hediye kartları veren kuruluşlar tarafından kullanılan bulut ortamlarına yönelik hedefli ve düşük gürültülü saldırıları nedeniyle takip ettiği, finansal amaçlı bir siber suç grubudur. Hediye kartları çok az kişisel veriyle kullanılabildiği ve yeniden satılması kolay olduğu için, kart verme iş akışlarını tehlikeye atmak hızlı ve izlenmesi zor nakit çıkışları sağlar. Grubun operasyonları, uzun bekleme süreleri, dikkatli keşif ve geleneksel kötü amaçlı yazılımlara kıyasla kimlik kötüye kullanımını tercih etmesiyle dikkat çeker; bu da tespit ve müdahaleyi zorlaştıran bir kombinasyondur.

Bunlar Kimdir ve Araştırmacılar Onlara Ne Ad Veriyor?

Güvenlik analistleri bu faaliyet kümesini CL‑CRI‑1032 olarak adlandırıyor. Bu etiket, suç motivasyonuyla yönlendirilen bir küme ('CL') ('CRI') olarak ayrılıyor. Orta düzeyde güvenle yapılan atıf değerlendirmeleri, faaliyeti, Fas'ta faaliyet gösterdiğine inanılan ve en azından 2021 sonlarından beri aktif olan Atlas Lion ve Storm‑0539 olarak takip edilen suç gruplarıyla ilişkilendiriyor. 'Jingle Thief' takma adı, grubun hediye kartı talebinin ve kart veren kuruluşların baskısının arttığı tatil dönemlerinde grev yapma alışkanlığını yansıtıyor.

Birincil Hedefler ve Mağdur Profili

Jingle Thief, hediye kartı ihracını bulut platformlarında yöneten perakende ve tüketici hizmetleri kuruluşlarına odaklanıyor. Amaçları basit: Yüksek değerli hediye kartları ihracını gerçekleştirmek için gereken erişimi elde etmek ve ardından bu kartları paraya çevirmek (genellikle gri pazarlarda yeniden satış yoluyla). İhracı büyük ölçekte gerçekleştirirken minimum düzeyde adli iz bırakmalarını sağlayan erişime öncelik veriyorlar.

Taktikler, Teknikler ve Prosedürler (TTP’ler)

Jingle Thief, özel kötü amaçlı yazılımlar geliştirmek yerine sosyal mühendisliğe ve bulut kimliği kötüye kullanımına güveniyor:

  • Kimlik bilgisi hırsızlığı: Grup, Microsoft 365 kimlik bilgilerini toplamak için özel olarak tasarlanmış kimlik avı ve kimlik avı kampanyaları kullanır. Mesajlar, ön keşiften sonra büyük ölçüde özelleştirilir ve tıklama ve kimlik bilgisi gönderme oranlarını artırmak için genellikle BT bildirimlerini veya destek talebi güncellemelerini taklit eder.
  • Kimlik kötüye kullanımı ve kimliğe bürünme: Kimlik bilgileri ele geçirildikten sonra, saldırganlar oturum açar ve yasal kullanıcıların kimliğine bürünerek ihraç uygulamalarına ve hassas belgelere erişirler. Gürültülü uç nokta istismarlarından özellikle kaçınarak, bulut tabanlı hesap kötüye kullanımını tercih ederler.
  • Keşif ve yatay hareket: İlk erişimden sonra bulut alanını haritalandırırlar; SharePoint, OneDrive, VPN kılavuzları, elektronik tablolar ve hediye kartları vermek veya izlemek için kullanılan dahili iş akışlarını keşfederler; ardından ayrıcalıkları artırırlar ve bulut hesapları ve hizmetleri arasında yatay olarak hareket ederler.

Kalıcılık ve MFA Baypas Stratejileri

Jingle Thief, uzun vadeli (aylarca ila bir yıldan fazla) bir etki alanı sağlar. Gözlemlenen kalıcılık teknikleri arasında gelen kutusu yönlendirme kuralları oluşturma, gönderilen kimlik avı mesajlarını izleri gizlemek için hemen Silinmiş Öğeler'e taşıma, sahte kimlik doğrulama uygulamaları kaydetme ve saldırgan cihazlarını Entra ID'ye kaydetme yer alır. Bu eylemler, grubun parola sıfırlama ve belirteç iptallerinden kurtulmasını ve erişimi hızla yeniden sağlamasını sağlar.

Operasyonel Modeller ve Ölçek

Araştırmacılar, Nisan-Mayıs 2025 arasında dünya çapında birden fazla işletmeyi hedef alan koordineli bir saldırı dalgası gözlemledi. Saldırganların bir saldırıda yaklaşık 10 ay boyunca erişimi koruduğu ve tek bir kurban ortamında yaklaşık 60 kullanıcı hesabını ele geçirdiği bildirildi. Operasyonları genellikle hediye kartı verme portallarını doğrudan hedef alıyor, günlük kaydını ve adli meta verileri en aza indirmeye çalışırken birden fazla programda kart veriyor.

Hediye Kartı Dolandırıcılığı Neden Caziptir?

Hediye kartları, minimum kimlik bilgisi ile kullanılabilmeleri veya yeniden satılabilmeleri ve ihraç iş akışlarının genellikle finansal ödeme sistemlerine göre daha az sıkı bir şekilde izlenmesi nedeniyle dolandırıcılar için caziptir. Saldırganlar bu iş akışlarına bulut erişimi sağladığında, dolandırıcılığı hızla ölçeklendirebilir ve savunmacıların takip edebileceği daha az belirgin denetim izleri bırakabilirler.

Uzlaşma Göstergeleri

  • Açıklanamayan gelen kutusu kuralları oluşturulması veya harici adreslere otomatik yönlendirme.
  • Entra ID'de yeni kimlik doğrulayıcı kayıtları veya beklenmeyen cihaz kayıtları.
  • Yüksek değerli hediye kartı ihracında veya normal mesai saatleri dışında ihracında ani artışlar.
  • Hediye kartı iş akışlarını, elektronik tabloları veya VPN/BT yönetici kılavuzlarını depolayan SharePoint/OneDrive konumlarına erişim.
  • Farklı coğrafi konumlardan veya normal kullanıcı davranışına uymayan bilinmeyen IP'lerden birden fazla posta kutusu oturum açma.

Önerilen savunma kontrolleri

  • Kimlik avına karşı dayanıklı MFA'yı (anahtarlar/FIDO2) uygulayın ve uzaktan kaydedilebilen zayıf ikincil faktörleri engelleyin.
  • Kimlik hijyenini güçlendirin: Eski kimlik doğrulamayı devre dışı bırakın, koşullu erişim politikaları gerektirin ve yönetim için ayrıcalıklı erişim iş istasyonlarını kullanın.
  • Posta kutusu yönlendirme kurallarını, yeni kimlik doğrulayıcı/cihaz kayıtlarını ve hediye kartı verme uygulamalarına anormal erişimi izleyin ve uyarı alın.
  • Hediye kartı ihraç sistemlerine en az ayrıcalığı uygulayın ve hediye kartı ihraç iş akışlarını genel iş postası/veri depolarından ayırın.

Kapanış Değerlendirmesi

Jingle Thief'in derinlemesine keşif, dikkatli hesap kötüye kullanımı, uzun bekleme süreleri ve MFA atlama tekniklerinin birleşimi, onu hediye kartı veren her kuruluş için yüksek riskli bir saldırgan haline getirir. Grup, gürültülü uç nokta saldırıları yerine bulut kimliği ve hizmet özelliklerini kullandığından, tespit için dikkatli kimlik izleme, sıkı MFA politikaları ve kart verme iş akışlarını korumak üzere tasarlanmış kontroller gerekir. Bu savunma önlemlerine öncelik vermek, saldırganların sessizce kart verme, nakde çevirme ve ortadan kaybolma olasılığını azaltır.

trend

American Express - Oturum Açma Girişimi Engellendi...

Kimlik avı, İstenmeyen e-posta
Siber suçlular, güvenilir markaların bilinirliğinden yararlanarak, şüphelenmeyen kullanıcıları hassas bilgilerini ifşa etmeye ikna ederler. "American Express - Oturum Açma Girişimi Engellendi" dolandırıcılığı, bu taktiğin en iyi örneğidir. Bu e-postalar, American Express'in güvenlik uyarılarını taklit ederek, şüpheli bir oturum açma girişiminin engellendiğini iddia eder ve alıcıyı derhal...

En çok görüntülenen

Yükleniyor...