Festival sezonu yaklaşırken kuruluşlar, dijital hediye kartı sistemlerine yönelik hedefli saldırılarda rahatsız edici bir artışa tanık oluyor.
Fas merkezli, finansal motivasyona sahip tehdit aktörleri tarafından yürütülen Jingle Hırsızı kampanyası, hediye kartlarını geniş ölçekte çalmak ve bunlardan para kazanmak için mevsimsel güvenlik açıklarından yararlanan kötü şöhretli bir kampanya olarak ortaya çıktı.
Saldırganlar, özelleştirilmiş kimlik avı ve smishing kampanyalarından yararlanarak gözlerini büyük perakendecilere ve bulut tabanlı altyapılar işleten büyük kuruluşlara, özellikle de Microsoft 365 ve benzeri hizmetlere bağımlı olanlara dikti.
Amaçları: Kullanıcı kimlik bilgilerini tehlikeye atmak, yetkisiz erişim elde etmek ve etkinliğin arttığı ve dikkatin azaldığı dönemlerde hediye kartı sistemlerinden yararlanmak.
Operasyon, kurbanları meşru Microsoft 365 arayüzlerini taklit eden aldatıcı portallar aracılığıyla oturum açma bilgilerini sağlamaya ikna eden, özenle hazırlanmış kimlik avı e-postaları ve SMS mesajlarıyla başlıyor.
Hedeflenen kuruluşun tarzını yansıtacak şekilde benzersiz bir şekilde markalanan bu sahte siteler, rutin tespitlerden kaçarken kimlik bilgileri topluyor.
Saldırganlar genellikle bu yemleri, güvenliği ihlal edilmiş WordPress sunucularından çalışan, kendi kendine barındırılan PHP posta betiklerini kullanarak göndererek kendi altyapılarını etkili bir şekilde gizler.
İçeri girdikten sonra, dahili belgeleri ve hediye kartı düzenleme iş akışlarını bulmak için SharePoint ve OneDrive hesapları arasında yanlamasına dönerek kapsamlı bir keşif işlemine devam ediyorlar.
Gelişmişlikleri yalnızca ilk uzlaşmada değil, aynı zamanda birden fazla hediye kartı düzenleme uygulamasında tekrarlanan dolandırıcılık girişimlerini düzenlerken (bazen aylarca) fark edilmeden kalma yeteneklerinde de yatmaktadır.
Palo Alto Networks analistleri Jingle Thief kampanyasını CLCRI1032 kümesi altında takip ederek onu Atlas Lion ve STORM-0539 gibi bilinen tehdit varlıklarıyla ilişkilendirdi.
Araştırmaları, kararlılığı ve operasyonel sabrı korumaya odaklanan gelişmiş operasyonel taktikleri ortaya çıkardı.
2025’in başlarında gözlemlenen saldırılarda, tek bir küresel kuruluş içinde 60’tan fazla kullanıcı hesabının ele geçirildiği görüldü; tehdit aktörleri, posta kutusu manipülasyonu ve kimlik altyapısının kötüye kullanılması da dahil olmak üzere savunma kontrollerini altüst etmek için uyarlanabilir yöntemler gösterdi.
.webp)
Saldırı yaşam döngüsü, kimlik avı yoluyla ilk erişimin, hileli cihaz kaydı yoluyla nasıl uzun vadeli kalıcılığa doğru evrildiğini gösterir.
Enfeksiyon Mekanizması: Cihaz Kaydı Yoluyla Kalıcılık
Jingle Thief kampanyasının çarpıcı bir unsuru, kalıcı, kötü amaçlı yazılımlara dayanıklı erişim sağlama yöntemidir.
Kimlik bilgisi hırsızlığının ardından tehdit aktörleri Microsoft Entra ID’nin self servis ve cihaz kayıt özelliklerinden yararlanarak saldırgan tarafından kontrol edilen cihazları ve hileli kimlik doğrulama uygulamalarını kaydediyor.
Bu yaklaşım, çok faktörlü kimlik doğrulamayı (MFA) altüst ederek, parola sıfırlandıktan sonra bile sürekli erişime olanak tanır.
Saldırganların yerel katılım sürecini kullanarak akıllı telefonları sessizce kaydettirdikleri gözlemlendi:
# Example: Rogue Device Enrollment – Simulated Python workflow
import requests
url = "https://entra.microsoft.com/device/register"
data = {"user_id": compromised_id, "device_info": attacker_device}
requests.post(url, json=data).webp)
Bu, saldırganın çevreye yerleşmek için meşru MFA katılımını nasıl kullandığını ve tespit etmeyi son derece zorlaştırdığını gösteriyor.
Bu gelişmiş teknikler sayesinde, Jingle Thief saldırganları geleneksel güvenlik kontrollerinden güvenilir bir şekilde kaçar ve tam tanımlama ve altyapı temizliği elde edilene kadar tipik iyileştirme önlemlerini etkisiz hale getirir.
Siber güvenlik ekiplerine, özellikle bu tür tehditlerin yoğunlaştığı bayram dönemlerinde kimlik tabanlı izleme ve davranışsal anormallik tespitine öncelik vermeleri çağrısında bulunuluyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
