Nhóm tội phạm mạng Jingle Thief

Jingle Thief là một nhóm tội phạm mạng có động cơ tài chính mà các nhà nghiên cứu đã theo dõi vì các cuộc tấn công có mục tiêu, ít tiếng ồn của chúng vào môi trường đám mây được các tổ chức phát hành thẻ quà tặng sử dụng. Do thẻ quà tặng có thể được đổi với ít dữ liệu cá nhân và dễ bán lại, việc xâm phạm quy trình phát hành sẽ dẫn đến việc rút tiền nhanh chóng, khó theo dõi. Hoạt động của nhóm này nổi bật với thời gian tồn tại lâu, khả năng do thám cẩn thận và ưu tiên sử dụng danh tính giả mạo hơn là phần mềm độc hại truyền thống — một sự kết hợp gây khó khăn cho việc phát hiện và ứng phó.

Họ là ai và các nhà nghiên cứu gọi họ là gì

Các nhà phân tích bảo mật gắn nhãn cho cụm hoạt động này là CL-CRI-1032. Nhãn này được chia thành một cụm ('CL') do động cơ tội phạm ('CRI'). Các đánh giá quy kết, được thực hiện với độ tin cậy vừa phải, liên kết hoạt động này với các nhóm tội phạm được theo dõi là Atlas Lion và Storm-0539, được cho là hoạt động từ Maroc và đã hoạt động ít nhất từ cuối năm 2021. Biệt danh 'Jingle Thief' phản ánh thói quen tấn công của nhóm này vào các dịp lễ, khi nhu cầu thẻ quà tặng và áp lực từ bên phát hành tăng cao.

Mục tiêu chính và hồ sơ nạn nhân

Jingle Thief tập trung vào các tổ chức bán lẻ và dịch vụ tiêu dùng quản lý việc phát hành thẻ quà tặng trên nền tảng đám mây. Mục tiêu cuối cùng của họ rất đơn giản: có được quyền truy cập cần thiết để phát hành thẻ quà tặng giá trị cao, sau đó kiếm tiền từ những thẻ này (thường thông qua việc bán lại trên thị trường chợ đen). Họ ưu tiên quyền truy cập cho phép họ phát hành ở quy mô lớn mà không để lại dấu vết pháp lý tối thiểu.

Chiến thuật, Kỹ thuật và Thủ tục (TTP)

Thay vì phát triển phần mềm độc hại tùy chỉnh, Jingle Thief dựa vào kỹ thuật xã hội và lạm dụng danh tính đám mây:

• Trộm cắp thông tin đăng nhập: Nhóm này sử dụng các chiến dịch lừa đảo và tin nhắn SMS được thiết kế riêng để thu thập thông tin đăng nhập Microsoft 365. Các tin nhắn được tùy chỉnh rất kỹ sau khi thăm dò sơ bộ, thường bắt chước các thông báo CNTT hoặc cập nhật phiếu yêu cầu để tăng tỷ lệ nhấp chuột và tỷ lệ gửi thông tin đăng nhập.
• Lạm dụng và mạo danh danh tính: Sau khi lấy được thông tin đăng nhập, kẻ tấn công sẽ đăng nhập và mạo danh người dùng hợp pháp để truy cập các ứng dụng phát hành và tài liệu nhạy cảm. Chúng cố tình tránh các cuộc tấn công điểm cuối gây nhiễu để lợi dụng tài khoản gốc trên nền tảng đám mây.
• Do thám và di chuyển ngang: Sau khi truy cập ban đầu, họ lập bản đồ bất động sản đám mây — khám phá SharePoint, OneDrive, hướng dẫn VPN, bảng tính và quy trình làm việc nội bộ được sử dụng để phát hành hoặc theo dõi thẻ quà tặng — sau đó nâng cao đặc quyền và di chuyển ngang qua các tài khoản và dịch vụ đám mây.

Chiến lược bỏ qua MFA và tính bền bỉ

Jingle Thief duy trì hoạt động lâu dài (từ vài tháng đến hơn một năm). Các kỹ thuật duy trì hoạt động được quan sát bao gồm tạo quy tắc chuyển tiếp hộp thư đến, ngay lập tức chuyển các tin nhắn lừa đảo đã gửi vào mục Đã xóa để ẩn dấu vết, đăng ký ứng dụng xác thực giả mạo và đăng ký thiết bị của kẻ tấn công vào Entra ID. Những hành động này cho phép nhóm này vượt qua việc đặt lại mật khẩu và thu hồi mã thông báo, đồng thời nhanh chóng thiết lập lại quyền truy cập.

Mô hình hoạt động và quy mô

Các nhà nghiên cứu đã quan sát thấy một đợt tấn công phối hợp vào tháng 4–tháng 5 năm 2025 nhắm vào nhiều doanh nghiệp trên toàn thế giới. Trong một chiến dịch, kẻ tấn công được cho là đã duy trì quyền truy cập trong khoảng 10 tháng và xâm phạm khoảng 60 tài khoản người dùng trong cùng một môi trường nạn nhân. Hoạt động của chúng thường nhắm trực tiếp vào các cổng phát hành thẻ quà tặng, phát hành thẻ trên nhiều chương trình trong khi cố gắng giảm thiểu việc ghi nhật ký và siêu dữ liệu pháp y.

Tại sao gian lận thẻ quà tặng lại hấp dẫn

Thẻ quà tặng hấp dẫn kẻ gian vì chúng có thể được đổi hoặc bán lại với dữ liệu nhận dạng tối thiểu, và quy trình phát hành thẻ thường ít được giám sát chặt chẽ hơn so với các hệ thống thanh toán tài chính. Khi kẻ tấn công có quyền truy cập đám mây vào các quy trình đó, chúng có thể nhanh chóng mở rộng quy mô gian lận, đồng thời để lại dấu vết kiểm toán ít rõ ràng hơn cho bên phòng thủ theo dõi.

Các chỉ số của sự thỏa hiệp

• Việc tạo quy tắc hộp thư đến hoặc tự động chuyển tiếp đến các địa chỉ bên ngoài không rõ lý do.
• Đăng ký xác thực mới hoặc đăng ký thiết bị bất ngờ trong Entra ID.
• Tăng đột ngột việc phát hành thẻ quà tặng có giá trị cao hoặc phát hành ngoài giờ làm việc thông thường.
• Truy cập vào các vị trí SharePoint/OneDrive lưu trữ quy trình làm việc thẻ quà tặng, bảng tính hoặc hướng dẫn quản trị VPN/CNTT.
• Nhiều lần đăng nhập hộp thư từ nhiều vị trí địa lý khác nhau hoặc IP không xác định không khớp với hành vi thông thường của người dùng.

Các biện pháp kiểm soát phòng thủ được đề xuất

• Áp dụng MFA chống lừa đảo (mật khẩu/FIDO2) và chặn các yếu tố xác thực thứ hai yếu có thể được đăng ký từ xa.
• Tăng cường vệ sinh danh tính: vô hiệu hóa xác thực cũ, yêu cầu chính sách truy cập có điều kiện và sử dụng máy trạm truy cập đặc quyền để quản trị.
• Theo dõi và cảnh báo về các quy tắc chuyển tiếp hộp thư, đăng ký thiết bị/xác thực mới và truy cập bất thường vào các ứng dụng phát hành thẻ quà tặng.

• Áp dụng đặc quyền tối thiểu cho các hệ thống phát hành và tách biệt quy trình phát hành thẻ quà tặng khỏi kho dữ liệu/thư kinh doanh chung.

Đánh giá kết thúc

Sự kết hợp giữa khả năng do thám sâu, sử dụng tài khoản sai mục đích cẩn thận, thời gian chờ dài và kỹ thuật bỏ qua Xác thực Đa yếu tố (MFA) khiến Jingle Thief trở thành đối thủ nguy hiểm cho bất kỳ tổ chức nào phát hành thẻ quà tặng. Vì nhóm này tận dụng các tính năng nhận dạng và dịch vụ đám mây thay vì khai thác điểm cuối gây nhiễu, việc phát hiện đòi hỏi phải giám sát danh tính cẩn thận, chính sách MFA nghiêm ngặt và các biện pháp kiểm soát được thiết kế riêng để bảo vệ quy trình phát hành. Việc ưu tiên các biện pháp phòng thủ này sẽ giảm thiểu cơ hội cho kẻ tấn công âm thầm phát hành, rút tiền và biến mất.