Jingle Thief 網路犯罪集團
Jingle Thief 是一個以經濟利益為目的的網路犯罪團夥,研究人員一直在追蹤該團夥,因為它會針對禮品卡發行機構使用的雲端環境發動有針對性的低噪音攻擊。由於禮品卡只需少量個人資訊即可兌換,且易於轉售,因此入侵發卡流程可以快速實現難以追蹤的套現。該團伙的行動特點是駐留時間長、偵察手段嚴密,並且更傾向於身份盜用而非傳統惡意軟體——這些特點使得檢測和回應更加複雜。
目錄
他們是誰以及研究人員如何稱呼他們
安全分析師將此活動群集標記為 CL-CRI-1032。此標籤細分為受犯罪動機(“CRI”)驅動的群集(“CL”)。基於中等置信度的歸因評估,該活動與被追蹤為 Atlas Lion 和 Storm-0539 的犯罪集團相關,據信這些犯罪集團在摩洛哥活動,至少自 2021 年底以來一直活躍。 「Jingle Thief」的綽號反映了該組織在假日期間發動攻擊的習慣,因為此時禮品卡需求和發卡機構的壓力都會增加。
主要目標和受害者概況
Jingle Thief 專注於在雲端平台上管理禮品卡發行的零售和消費者服務機構。他們的最終目標很簡單:獲得發行高價值禮品卡所需的存取權限,然後將這些卡貨幣化(通常透過在灰色市場轉售)。他們優先考慮能夠進行大規模發行且盡可能少留下取證痕蹟的存取權。
策略、技術和程序(TTP)
Jingle Thief 並不是開發客製化的惡意軟體,而是依賴社會工程和雲端身分濫用:
- 憑證竊取:該組織使用客製化的網路釣魚和簡訊釣魚活動來竊取 Microsoft 365 憑證。這些郵件經過初步偵察後高度定制,通常模仿 IT 通知或工單更新,以提高點擊率和憑證提交率。
- 身分濫用和冒充:一旦取得憑證,攻擊者就會登入並冒充合法用戶,存取發卡應用程式和敏感文件。他們刻意避開吵雜的端點漏洞,轉而利用雲端原生帳戶濫用。
- 偵察和橫向移動:初次訪問後,他們會映射雲端資產——探索 SharePoint、OneDrive、VPN 指南、電子表格以及用於發行或追蹤禮品卡的內部工作流程——然後提升權限並在雲端帳戶和服務之間橫向移動。
持久性和 MFA 繞過策略
Jingle Thief 的駐留時間很長(從數月到一年多不等)。觀察到的駐留技術包括建立收件匣轉送規則、立即將已傳送的釣魚郵件移至「已刪除郵件」以隱藏痕跡、註冊惡意身分驗證器應用程式以及將攻擊者的裝置註冊到 Entra ID。這些操作使該組織能夠在密碼重設和令牌撤銷後繼續存在,並快速重新建立存取權限。
營運模式和規模
研究人員觀察到,2025年4月至5月期間,全球多家企業遭遇了協同攻擊。據報道,在一次攻擊活動中,攻擊者控制了約10個月的存取權限,並在單一受害者環境中入侵了大約60個用戶帳戶。他們的行動通常直接針對禮品卡發行門戶,透過多個程式發行禮品卡,同時試圖最大限度地減少日誌記錄和取證元資料。
禮品卡詐騙為何如此誘人
禮品卡對詐騙者來說極具吸引力,因為它們只需極少的身份資訊即可兌換或轉售,而且其發行流程通常比金融支付系統監控得更鬆散。當攻擊者獲得這些工作流程的雲端存取權限時,他們可以迅速擴大詐欺規模,同時留下不易察覺的審計線索,讓防禦者難以追蹤。
妥協指標
- 無法解釋地建立收件匣規則或自動轉送到外部位址。
- Entra ID 中的新驗證器註冊或意外的裝置註冊。
- 高價值禮品卡發行量突然增加或在正常營業時間以外發行。
- 存取儲存禮品卡工作流程、電子表格或 VPN/IT 管理指南的 SharePoint/OneDrive 位置。
- 來自不同地理位置或未知 IP 的多個郵箱登入與正常使用者行為不符。
建議的防禦控制
- 強制執行防網釣魚的 MFA(金鑰/FIDO2)並阻止可遠端註冊的弱第二因素。
- 強化身分衛生:停用舊式身分驗證,要求有條件存取策略,並使用特權存取工作站進行管理。
- 監控並警告郵箱轉發規則、新的身份驗證器/裝置註冊以及禮品卡發行應用程式的異常存取。
結業評估
Jingle Thief 結合了深度偵察、謹慎的帳戶濫用、長時間駐留以及 MFA 繞過技術,使其成為任何發行禮品卡的機構的高風險對手。由於該組織利用的是雲端身分和服務功能,而非嘈雜的端點漏洞,因此偵測需要嚴密的身分監控、嚴格的 MFA 策略以及專門為保護發行工作流程而客製化的控制措施。優先採取這些防禦措施可以減少攻擊者悄悄發行、套現並消失的機會。
