Jingle Thief 网络犯罪集团
Jingle Thief 是一个以经济利益为目的的网络犯罪团伙,研究人员一直在追踪该团伙,因为它会针对礼品卡发行机构使用的云环境发起有针对性的低噪音攻击。由于礼品卡只需少量个人信息即可兑换,且易于转售,因此入侵发卡流程可以快速实现难以追踪的套现。该团伙的行动特点是驻留时间长、侦察手段严密,并且更倾向于身份盗用而非传统恶意软件——这些特点使得检测和响应更加复杂。
目录
他们是谁以及研究人员如何称呼他们
安全分析师将此活动集群标记为 CL-CRI-1032。该标签细分为受犯罪动机(“CRI”)驱动的集群(“CL”)。基于中等置信度的归因评估,该活动与被追踪为 Atlas Lion 和 Storm-0539 的犯罪集团相关,据信这些犯罪集团在摩洛哥活动,至少自 2021 年底以来一直活跃。“Jingle Thief”的绰号反映了该组织在节假日期间发动攻击的习惯,因为此时礼品卡需求和发卡机构的压力都会增加。
主要目标和受害者概况
Jingle Thief 专注于在云平台上管理礼品卡发行的零售和消费者服务机构。他们的最终目标很简单:获得发行高价值礼品卡所需的访问权限,然后将这些卡货币化(通常通过在灰色市场转售)。他们优先考虑能够进行大规模发行且尽可能少留下取证痕迹的访问权限。
策略、技术和程序(TTP)
Jingle Thief 并不开发定制的恶意软件,而是依靠社会工程和云身份滥用:
- 凭证窃取:该组织使用定制的网络钓鱼和短信钓鱼活动来窃取 Microsoft 365 凭证。这些邮件经过初步侦察后高度定制,通常模仿 IT 通知或工单更新,以提高点击率和凭证提交率。
- 身份滥用和冒充:一旦获取凭证,攻击者就会登录并冒充合法用户,访问发卡应用程序和敏感文档。他们刻意避开嘈杂的端点漏洞,转而利用云原生账户滥用。
- 侦察和横向移动:初次访问后,他们会映射云资产——探索 SharePoint、OneDrive、VPN 指南、电子表格以及用于发行或跟踪礼品卡的内部工作流程——然后提升权限并在云帐户和服务之间横向移动。
持久性和 MFA 绕过策略
Jingle Thief 的驻留时间很长(从数月到一年多不等)。观察到的驻留技术包括创建收件箱转发规则、立即将已发送的钓鱼邮件移至“已删除邮件”以隐藏痕迹、注册恶意身份验证器应用以及将攻击者的设备注册到 Entra ID。这些操作使该组织能够在密码重置和令牌撤销后继续存在,并快速重新建立访问权限。
运营模式和规模
研究人员观察到,2025年4月至5月期间,全球多家企业遭遇了协同攻击。据报道,在一次攻击活动中,攻击者控制了约10个月的访问权限,并在单个受害者环境中入侵了大约60个用户帐户。他们的行动通常直接针对礼品卡发行门户,通过多个程序发行礼品卡,同时试图最大限度地减少日志记录和取证元数据。
礼品卡诈骗为何如此诱人
礼品卡对诈骗者来说极具吸引力,因为它们只需极少的身份信息即可兑换或转售,而且其发行流程通常比金融支付系统监控得更松散。当攻击者获得这些工作流程的云访问权限时,他们可以迅速扩大欺诈规模,同时留下不易察觉的审计线索,让防御者难以追踪。
妥协指标
- 无法解释地创建收件箱规则或自动转发到外部地址。
- Entra ID 中的新身份验证器注册或意外的设备注册。
- 高价值礼品卡发行量突然增加或在正常营业时间以外发行。
- 访问存储礼品卡工作流程、电子表格或 VPN/IT 管理指南的 SharePoint/OneDrive 位置。
- 来自不同地理位置或未知 IP 的多个邮箱登录与正常用户行为不符。
推荐的防御控制
- 强制执行防网络钓鱼的 MFA(密钥/FIDO2)并阻止可远程注册的弱第二因素。
- 强化身份卫生:禁用旧式身份验证,要求有条件访问策略,并使用特权访问工作站进行管理。
- 监控并警告邮箱转发规则、新的身份验证器/设备注册以及礼品卡发行应用程序的异常访问。
结业评估
Jingle Thief 的深度侦察、谨慎的账户滥用、长时间的驻留以及 MFA 绕过技术,使其成为任何发行礼品卡的机构的高风险对手。由于该组织利用的是云身份和服务功能,而非嘈杂的端点漏洞,因此检测需要严密的身份监控、严格的 MFA 策略以及专门为保护发行工作流程而定制的控制措施。优先采取这些防御措施可以减少攻击者悄悄发行、套现并消失的机会。
