Знижка на кілька ліцензій
База даних загроз Розширена постійна загроза (APT) Група кіберзлочинності Jingle Thief

Група кіберзлочинності Jingle Thief

До Mezo року в Розширена постійна загроза (APT) році
Перекласти на:

Jingle Thief — це фінансово мотивований кіберзлочинний кластер, який дослідники відстежують через його цілеспрямовані, малошумні атаки на хмарні середовища, що використовуються організаціями, що випускають подарункові картки. Оскільки подарункові картки можна активувати з мінімальною кількістю персональних даних і їх легко перепродати, порушення робочих процесів випуску забезпечує швидке та важко відстежуване виведення коштів. Операції групи відрізняються тривалим часом очікування, ретельною розвідкою та перевагою неправомірного використання особистих даних над традиційним шкідливим програмним забезпеченням — поєднання, яке ускладнює виявлення та реагування.

Хто вони і як їх називають дослідники

Аналітики з безпеки позначають цей кластер діяльності CL‑CRI‑1032. Ця мітка розбивається на кластер («CL»), зумовлений злочинною мотивацією («CRI»). Оцінки атрибуції, проведені з помірною впевненістю, пов’язують цю діяльність зі злочинними групами, відстежуваними як Atlas Lion та Storm‑0539, які, як вважається, діють з Марокко та активні принаймні з кінця 2021 року. Прізвисько «Jingle Thief» («Злодій дзвіночків») відображає звичку групи влаштовувати страйки у святкові періоди, коли зростає попит на подарункові картки та тиск на емітента.

Основні цілі та профіль жертви

Jingle Thief зосереджується на роздрібних організаціях та організаціях, що надають послуги споживачам, які керують випуском подарункових карток на хмарних платформах. Їхня кінцева мета проста: отримати доступ, необхідний для випуску подарункових карток високої вартості, а потім монетизувати ці картки (зазвичай шляхом перепродажу на сірих ринках). Вони надають пріоритет доступу, який дозволяє їм здійснювати випуск у великих масштабах, залишаючи при цьому мінімальний судово-медичний слід.

Тактика, методи та процедури (ТТП)

Замість розробки спеціалізованого шкідливого програмного забезпечення, Jingle Thief покладається на соціальну інженерію та зловживання хмарними ідентифікаторами:

  • Крадіжка облікових даних: група використовує спеціально розроблені фішингові та smishing-кампанії для збору облікових даних Microsoft 365. Повідомлення сильно налаштовуються після попередньої розвідки, часто імітуючи IT-повідомлення або оновлення заявок, щоб збільшити кількість кліків та надсилання облікових даних.
  • Зловживання ідентифікацією та видавання себе за іншу особу: після отримання облікових даних зловмисники входять у систему та видають себе за законних користувачів, щоб отримати доступ до програм видачі даних та конфіденційної документації. Вони навмисно уникають експлойтів на стороні «шумних» кінцевих точок на користь зловживання хмарними обліковими записами.
  • Розвідка та горизонтальне переміщення: Після початкового доступу вони складають карту хмарної інфраструктури — досліджують SharePoint, OneDrive, посібники з VPN, електронні таблиці та внутрішні робочі процеси, що використовуються для випуску або відстеження подарункових карток — потім підвищують привілеї та переміщуються горизонтально між хмарними обліковими записами та службами.

Стратегії наполегливості та обходу багатофакторних збігів

Jingle Thief підтримує довгострокові позиції (від місяців до більше року). Спостережувані методи стійкості включають створення правил пересилання вхідних повідомлень, негайне переміщення надісланих фішингових повідомлень до папки "Видалені" для приховування слідів, реєстрацію шахрайських програм для автентифікації та реєстрацію пристроїв зловмисника в Entra ID. Ці дії дозволяють групі пережити скидання паролів та відкликання токенів, а також швидко відновити доступ.

Операційні моделі та масштаб

Дослідники спостерігали скоординований сплеск атак у квітні-травні 2025 року, спрямованих на численні підприємства по всьому світу. Повідомляється, що в одній кампанії зловмисники зберігали доступ протягом приблизно 10 місяців і скомпрометували приблизно 60 облікових записів користувачів в одному середовищі жертви. Їхні операції часто спрямовані безпосередньо на портали видачі подарункових карток, видаючи картки через кілька програм, намагаючись мінімізувати реєстрацію та судово-медичні метадані.

Чому шахрайство з подарунковими картками є привабливим

Подарункові картки привабливі для шахраїв, оскільки їх можна обміняти або перепродати з мінімальними ідентифікаційними даними, а робочі процеси їх випуску часто контролюються менш ретельно, ніж у системах фінансових платежів. Коли зловмисники отримують хмарний доступ до цих робочих процесів, вони можуть швидко масштабувати шахрайство, залишаючи менш очевидні аудиторські сліди для захисників.

Ознаки компромісу

  • Незрозуміле створення правил для папки "Вхідні" або автоматична пересилка на зовнішні адреси.
  • Нові реєстрації автентифікаторів або неочікувані реєстрації пристроїв в Entra ID.
  • Раптове збільшення випуску подарункових карток високої вартості або випуску поза звичайними робочими годинами.
  • Доступ до розташувань SharePoint/OneDrive, де зберігаються робочі процеси подарункових сертифікатів, електронні таблиці або посібники VPN/IT-адміністратора.
  • Кілька входів до поштових скриньок з різних геолокацій або невідомих IP-адрес, які не відповідають звичайній поведінці користувача.

Рекомендовані засоби контролю захисту

  • Забезпечити використання стійкої до фішингу багатофакторної автентифікації (паролі/FIDO2) та блокувати слабкі другі фактори, які можна зареєструвати віддалено.
  • Посилити гігієну ідентифікації: вимкнути застарілу автентифікацію, вимагати політики умовного доступу та використовувати робочі станції з привілейованим доступом для адміністрування.
  • Моніторинг та сповіщення про правила переадресації поштових скриньок, реєстрації нових автентифікаторів/пристроїв та аномальний доступ до програм для випуску подарункових карток.
  • Застосовуйте мінімальні привілеї до систем видачі та відокремте робочі процеси видачі подарункових карток від загальних сховищ бізнес-пошти/даних.

    • Заключна оцінка

    Поєднання глибокої розвідки, ретельного зловживання обліковими записами, тривалого часу очікування та методів обходу багатофакторної автентифікації (MFA) робить Jingle Thief високоризикованим супротивником для будь-якої організації, яка випускає подарункові картки. Оскільки група використовує хмарні функції ідентифікації та сервісів, а не гучні експлойти кінцевих точок, виявлення вимагає пильного моніторингу ідентифікації, суворих політик MFA та контролю, розроблених для захисту робочих процесів випуску. Пріоритетність цих захисних заходів зменшує можливість для зловмисників непомітно випускати, виводити готівку та зникати.

    В тренді

    American Express – Шахрайство: спроба входу заблокована

    Фішинг, Спам
    Кіберзлочинці часто використовують знайомство з перевіреними брендами, щоб заманити нічого не підозрюючих користувачів та змусити їх розкрити конфіденційну інформацію. Шахрайство «American Express – спроба входу була заблокована» є яскравим прикладом цієї тактики. Ці електронні листи імітують сповіщення безпеки від American Express, стверджуючи, що підозрілу спробу входу було заблоковано, та...

    Найбільше переглянуті

    Шкідливе програмне забезпечення

    Фішинг, Спам
    33,390
    Шахрайське повідомлення «Apple Pay Suspended» — це різновид фішингової тактики, спрямованої на користувачів Apple Pay. У повідомленні стверджується, що гаманець Apple Pay користувача призупинено, і закликається натиснути посилання, щоб відновити його. Однак, натиснувши посилання, користувач перейде на підроблений веб-сайт, призначений для викрадення його особистої та фінансової інформації. Якщо...

    Fuq.com

    Програма захисту від шпигунського ПЗ, Шкідливе програмне забезпечення Mac
    23,205
    Fuq.com — це програма рекламного типу, яка рекламує веб-сайти з порнографічним вмістом. Рекламні кампанії цієї потенційно небажаної програми (PUP) є дуже агресивними. Вони змушують своїх жертв...
    Завантаження...