Siber güvenlik araştırmacıları, bir siber suç grubuna ışık tuttu Jingle Hırsızı hediye kartı sahtekarlığı için perakende ve tüketici hizmetleri sektörlerindeki kuruluşlarla ilişkili bulut ortamlarını hedef aldığı gözlemlenmiştir.
Palo Alto Networks Birim 42 araştırmacıları Stav Setty ve Shachar Roitman Çarşamba günkü bir analizde “Jingle Thief saldırganları, kimlik bilgilerini çalmak ve hediye kartı veren kuruluşların güvenliğini tehlikeye atmak için kimlik avı ve smishing kullanıyor.” dedi. “Bir kuruluşa erişim sağladıklarında, yetkisiz hediye kartları düzenlemek için gereken erişim türünü ve düzeyini takip ediyorlar.”
Bu çabaların nihai hedefi, verilen hediye kartlarını muhtemelen gri pazarlarda yeniden satarak parasal kazanç elde etmek için kullanmaktır. Hediye kartları, minimum düzeyde kişisel bilgiyle kolayca kullanılabildiğinden ve takip edilmesi zor olduğundan, savunucuların dolandırıcılığı soruşturmasını zorlaştırdığı için kazançlı bir seçimdir.
Jingle Hırsızı adı, tehdit aktörünün bayram sezonlarına ve tatil dönemlerine denk gelen hediye kartı dolandırıcılığı yapma biçimine bir göndermedir. Siber güvenlik şirketi, etkinliği CL‑CRI‑1032 adı altında izliyor; burada “CL” küme anlamına gelir ve “CRI” suç motivasyonunu ifade eder.
Tehdit kümesinin Atlas Lion ve Storm-0539 olarak takip edilen suç gruplarına orta düzeyde bir güvenle atfedildiği ve Microsoft’un bunu Fas menşeli mali motivasyonlu bir ekip olarak tanımladığı belirtiliyor. En azından 2021’in sonlarından beri aktif olduğuna inanılıyor.
Jingle Thief’in, güvenliği ihlal edilmiş organizasyonlarda uzun süreler boyunca, bazı durumlarda bir yıldan fazla bir süre tutunabilme yeteneği, onu tehlikeli bir grup haline getiriyor. Tehdit aktörü, ortamlarda geçirdiği süre boyunca bulut ortamının haritasını çıkarmak için kapsamlı bir keşif gerçekleştirir, bulut üzerinde yanal hareket eder ve tespitten kaçınmak için adımlar atar.
Birim 42, bilgisayar korsanlığı grubunun, kurbanların bulut altyapısını ihlal etmek için gerekli kimlik bilgilerini elde etmek amacıyla kimlik avı saldırılarını kullanarak, Nisan ve Mayıs 2025’te çeşitli küresel işletmeleri hedef alan bir dizi koordineli saldırı başlattığını gözlemlediğini söyledi. Bir kampanyada, saldırganların erişimi yaklaşık 10 ay boyunca sürdürdükleri ve tek bir kuruluş içindeki 60 kullanıcı hesabını kırdıkları söyleniyor.
Araştırmacılar, “Meşru kullanıcıların kimliğine bürünmek, hassas verilere yetkisiz erişim sağlamak ve geniş ölçekte hediye kartı dolandırıcılığı gerçekleştirmek için bulut tabanlı altyapıdan yararlanıyorlar” dedi.
Saldırılar genellikle farklı programlarda yüksek değerli kartlar düzenlemek için hediye kartı verme uygulamalarına erişme girişimlerini içeriyor ve aynı zamanda bu eylemlerin minimum düzeyde günlük ve adli iz bırakmasını sağlıyor.
 |
| Microsoft 365 genelinde Jingle Hırsızı kimlik avı saldırı zinciri |
Ayrıca tehdit aktörleri, kurbanları kandırıp Microsoft 365 kimlik bilgilerini girmeleri için kandırabilecek, e-posta veya SMS aracılığıyla ikna edici kimlik avı oturum açma sayfaları göndermeden önce keşif gerçekleştirerek, son derece hedefli ve her kurbana göre uyarlanmıştır.
Kimlik bilgileri toplandıktan sonra saldırganlar hiç vakit kaybetmeden ortama giriş yapıyor ve ikinci bir keşif turu gerçekleştiriyor; bu kez iş operasyonları, finansal süreçler ve BT iş akışlarıyla ilgili bilgiler için kurbanın SharePoint ve OneDrive’ını hedef alıyor.
Buna hediye kartı düzenleme iş akışlarının, VPN yapılandırmalarının ve erişim kılavuzlarının, hediye kartlarını düzenlemek veya takip etmek için kullanılan elektronik tablolar veya dahili sistemlerin yanı sıra sanal makineler ve Citrix ortamlarıyla ilgili diğer önemli ayrıntıların aranması da dahildir.
Bir sonraki aşamada, tehdit aktörlerinin ele geçirilen hesaptan yararlanarak dayanaklarını genişletmek amacıyla kuruluş içinde kimlik avı e-postaları gönderdikleri görüldü. Bu mesajlar genellikle dahili belgelerden veya önceki iletişimlerden toplanan bilgileri kullanarak BT hizmeti bildirimleri veya biletleme güncellemeleriyle ilgili BT hizmeti bildirimlerini taklit eder.
Ayrıca Jingle Thief’in, saldırıya uğramış hesaplardan gelen e-postaları kendi kontrolleri altındaki adreslere otomatik olarak iletmek için gelen kutusu kuralları oluşturduğu ve ardından gönderilen e-postaları hemen Silinmiş Öğeler’e taşıyarak etkinliğin izlerini gizlediği biliniyor.
Bazı durumlarda, tehdit aktörünün, çok faktörlü kimlik doğrulama (MFA) korumalarını atlamak için sahte kimlik doğrulama uygulamalarını kaydettiği ve hatta kurbanların şifreleri sıfırlandıktan veya oturum belirteçleri iptal edildikten sonra bile erişimi sürdürmek için cihazlarını Entra ID’ye kaydettirdiği de gözlemlendi.
Uç nokta uzlaşması yerine bulut hizmetlerine özel olarak odaklanmalarının yanı sıra, Jingle Thief’in kampanyalarını dikkate değer kılan bir diğer husus, özel kötü amaçlı yazılım dağıtmak yerine kimliğin kötüye kullanılması ve dolayısıyla tespit olasılığının en aza indirilmesidir.
Unit 42, “Hediye kartı dolandırıcılığı gizlilik, hız ve ölçeklenebilirliği birleştiriyor, özellikle de kart verme iş akışlarının bulunduğu bulut ortamlarına erişimle birleştirildiğinde.” dedi. “Bu gizli yaklaşım, gelecekteki sahtekarlıklara zemin hazırlarken tespit edilmekten kaçınmaya da yardımcı oluyor.”
“Tehdit aktörlerinin bu sistemlerden yararlanabilmesi için dahili belgelere ve iletişimlere erişmesi gerekiyor. Kimlik bilgilerini çalarak ve hediye kartı hizmetleri sağlayan hedeflenen kuruluşların Microsoft 365 ortamlarında sessiz ve kalıcı bir varlık göstererek bunu güvence altına alabilirler.”