Марокканская киберпреступная группа, получившая название "Jingle Thief", с конца 2021 года систематически атакует облачную инфраструктуру розничных и потребительских компаний. Их единственная цель — финансовая выгода, достигаемая за счет массового мошенничества с подарочными картами. Исследователи из Palo Alto Networks Unit 42 присвоили группе идентификатор CL-CRI-1032, где "CL" означает кластер, а "CRI" — криминальную мотивацию. С умеренной уверенностью группу также связывают с известными хакерскими коллективами Atlas Lion и Storm-0539.
Ключевая опасность Jingle Thief заключается в их способности действовать незаметно и сохранять доступ к скомпрометированным системам на протяжении длительного времени, в некоторых случаях — более года. В ходе одной из кампаний злоумышленники удерживали плацдарм в сети жертвы около 10 месяцев. Они целенаправленно атакуют облачные среды, такие как Microsoft 365, и избегают развертывания вредоносного ПО, предпочитая вместо этого использовать украденные учетные данные легитимных сотрудников. Это значительно снижает вероятность их обнаружения.
Атака начинается с целевого фишинга и смишинга (SMS-фишинга). Злоумышленники рассылают убедительные сообщения с ссылками на поддельные страницы входа, чтобы украсть учетные данные для доступа к Microsoft 365. Как только доступ получен, они немедленно приступают к внутренней разведке, изучая корпоративные хранилища SharePoint и OneDrive.
Внутри сети хакеры ищут любую информацию, связанную с процессами выпуска подарочных карт. Их интересуют рабочие инструкции, электронные таблицы, конфигурации VPN, руководства по доступу к виртуальным машинам и средам Citrix, а также документация, описывающая финансовые и IT-операции компании. Эта информация позволяет им спланировать финальный этап атаки.
Для расширения своего присутствия в сети Jingle Thief использует уже скомпрометированные учетные записи для рассылки фишинговых писем внутри организации. Эти письма часто маскируются под уведомления от IT-службы или систем управления заявками. Таким методом в ходе одной из атак им удалось получить контроль над 60 учетными записями пользователей в одной компании.
Чтобы обеспечить себе долговременный доступ, группа применяет изощренные методы обхода систем безопасности. Они регистрируют собственные мошеннические приложения-аутентификаторы для обхода многофакторной аутентификации (MFA). Кроме того, они добавляют свои устройства в Entra ID (ранее Azure AD), что позволяет им сохранять доступ к системе даже после смены пароля скомпрометированным пользователем или отзыва сеансовых токенов.
Для сокрытия следов своей деятельности злоумышленники создают специальные правила в почтовых ящиках взломанных аккаунтов. Эти правила автоматически пересылают входящую и исходящую корреспонденцию на контролируемые ими адреса, после чего перемещают отправленные письма в папку «Удаленные». Это позволяет им оставаться в тени и контролировать коммуникацию жертвы.
Финальная стадия операции — непосредственное мошенничество. Получив доступ к необходимым приложениям, преступники начинают массовый выпуск подарочных карт высокой стоимости. Эти карты затем продаются на серых рынках. Весь процесс организован таким образом, чтобы оставить минимальное количество логов и цифровых следов, что значительно усложняет последующее расследование.
Исследования, проведенные специалистами Palo Alto Networks Unit 42, в частности Ставом Сетти и Шахаром Ройтманом, указывают на продолжающуюся активность группы. Согласно их данным, новая волна атак наблюдалась в апреле и мае 2025 года, что подтверждает долгосрочный и системный характер угрозы, исходящей от Jingle Thief.
Изображение носит иллюстративный характер
Ключевая опасность Jingle Thief заключается в их способности действовать незаметно и сохранять доступ к скомпрометированным системам на протяжении длительного времени, в некоторых случаях — более года. В ходе одной из кампаний злоумышленники удерживали плацдарм в сети жертвы около 10 месяцев. Они целенаправленно атакуют облачные среды, такие как Microsoft 365, и избегают развертывания вредоносного ПО, предпочитая вместо этого использовать украденные учетные данные легитимных сотрудников. Это значительно снижает вероятность их обнаружения.
Атака начинается с целевого фишинга и смишинга (SMS-фишинга). Злоумышленники рассылают убедительные сообщения с ссылками на поддельные страницы входа, чтобы украсть учетные данные для доступа к Microsoft 365. Как только доступ получен, они немедленно приступают к внутренней разведке, изучая корпоративные хранилища SharePoint и OneDrive.
Внутри сети хакеры ищут любую информацию, связанную с процессами выпуска подарочных карт. Их интересуют рабочие инструкции, электронные таблицы, конфигурации VPN, руководства по доступу к виртуальным машинам и средам Citrix, а также документация, описывающая финансовые и IT-операции компании. Эта информация позволяет им спланировать финальный этап атаки.
Для расширения своего присутствия в сети Jingle Thief использует уже скомпрометированные учетные записи для рассылки фишинговых писем внутри организации. Эти письма часто маскируются под уведомления от IT-службы или систем управления заявками. Таким методом в ходе одной из атак им удалось получить контроль над 60 учетными записями пользователей в одной компании.
Чтобы обеспечить себе долговременный доступ, группа применяет изощренные методы обхода систем безопасности. Они регистрируют собственные мошеннические приложения-аутентификаторы для обхода многофакторной аутентификации (MFA). Кроме того, они добавляют свои устройства в Entra ID (ранее Azure AD), что позволяет им сохранять доступ к системе даже после смены пароля скомпрометированным пользователем или отзыва сеансовых токенов.
Для сокрытия следов своей деятельности злоумышленники создают специальные правила в почтовых ящиках взломанных аккаунтов. Эти правила автоматически пересылают входящую и исходящую корреспонденцию на контролируемые ими адреса, после чего перемещают отправленные письма в папку «Удаленные». Это позволяет им оставаться в тени и контролировать коммуникацию жертвы.
Финальная стадия операции — непосредственное мошенничество. Получив доступ к необходимым приложениям, преступники начинают массовый выпуск подарочных карт высокой стоимости. Эти карты затем продаются на серых рынках. Весь процесс организован таким образом, чтобы оставить минимальное количество логов и цифровых следов, что значительно усложняет последующее расследование.
Исследования, проведенные специалистами Palo Alto Networks Unit 42, в частности Ставом Сетти и Шахаром Ройтманом, указывают на продолжающуюся активность группы. Согласно их данным, новая волна атак наблюдалась в апреле и мае 2025 года, что подтверждает долгосрочный и системный характер угрозы, исходящей от Jingle Thief.
