Sicherheitsforscher von Palo Alto Networks warnen vor einer neuen kriminellen Gruppe namens Jingle Thief, die systematisch Cloud-Umgebungen im Retail und im Dienstleistungssektor kompromittiert. Ziel ist die massenhafte, unautorisierte Ausgabe von Geschenkkarten und deren Monetarisierung über graue Märkte—ein Angriffspfad, der klassische Endpunkt-Schutzmechanismen häufig umgeht.
Initialzugang und Ausweitung: Phishing, Smishing und Cloud-Reconnaissance
Die Kampagnen starten mit gezieltem Phishing und Smishing (SMS-Phishing), um Mitarbeiterzugänge zu kapern. Nach erfolgreicher Anmeldung in Microsoft 365 suchen die Angreifer in SharePoint und OneDrive nach internen Richtlinien zur Erstellung und Verfolgung von Geschenkkarten, Dokumenten zu Finanz- und Geschäftsprozessen sowie zu VPN- und Zugriffsanweisungen.
Zur Persistenz nutzen sie kompromittierte Postfächer für weitere Phishing-Wellen, richten Weiterleitungsregeln ein und verschieben ausgehende Nachrichten in „Gelöscht“, um Spuren zu verwischen. Besonders kritisch ist der Missbrauch von Entra ID (ehem. Azure AD): Angreifer registrieren Schein-Authenticatoren, umgehen damit MFA, fügen eigene Geräte dem Verzeichnis hinzu und behalten den Zugriff selbst nach Passwort-Resets oder dem Widerruf von Tokens.
Leiser Diebstahl statt Malware: Identitäten als primäres Ziel
Charakteristisch für Jingle Thief ist die Fokussierung auf Identitätsmissbrauch statt auf den Einsatz kundenspezifischer Malware. Diese Technik reduziert die Sichtbarkeit für EDR-Lösungen auf Endpunkten und verlagert den Detektionsschwerpunkt in Cloud- und Identitäts-Telemetrie. Geschenkkarten sind für Kriminelle attraktiv: geringe Hürden bei der Nutzung, minimaler Bedarf an personenbezogenen Daten und eine in der Praxis schwach nachvollziehbare Geldflusskette.
Skalierung, Saisonalität und Attribution
Palo Alto Networks führt den Cluster unter CL-CRI-1032 und ordnet ihn mit moderater Sicherheit den Gruppen Atlas Lion und Storm‑0539 zu, über die auch Microsoft berichtet hat. Der Name Jingle Thief verweist auf saisonale Peaks: Rund um Sales-Phasen und Feiertage steigt das Transaktionsvolumen mit Geschenkkarten—und damit das Deckungsrauschen für betrügerische Aktivitäten.
Beobachtete Auswirkungen in Unternehmen
Im April–Mai 2025 registrierten Forscher koordinierte Angriffe auf internationale Unternehmen. In einem Fall hielten die Täter den Zugang etwa 10 Monate und kompromittierten bis zu 60 Konten. Solche Langzeitpräsenz verschafft Zeit für vertiefte Aufklärung der Abläufe und die Vorbereitung auf die unautorisierte Kartenemission.
TTP-Analyse nach MITRE ATT&CK und Relevanz für Verteidiger
Die Taktiken fügen sich in MITRE ATT&CK: T1566 Phishing, T1078 Valid Accounts, T1098 Account Manipulation (MFA/Device-Enrollment), T1114 Email Collection (Forwarding-Regeln) sowie lateral Movement in M365/Entra ID (z. B. T1021). Das Hauptrisiko liegt in der Kompromittierung von Cloud-Identitäten, nicht in Endpunkten—Verteidigung erfordert daher ITDR-Fähigkeiten (Identity Threat Detection & Response), Audit-Telemetrie aus M365/Entra ID und stringente Zugriffsrichtlinien.
Empfohlene Schutzmaßnahmen für Retail und Services
Starke, phishing-resistente MFA: FIDO2 oder Zertifikate einsetzen; Voice/SMS als primären Faktor unterbinden; Self‑Enrollment von Authenticatoren und Geräten in Entra ID strikt kontrollieren.
Conditional Access & Mail-Hygiene: Risikobasierte Anmeldungsrichtlinien aktivieren, Legacy-Protokolle blockieren, externe Auto-Weiterleitungen standardmäßig verbieten, das Anlegen/Ändern von Forwarding-Regeln in SIEM überwachen.
Least Privilege gelebter Praxis: Just‑in‑Time/Just‑Enough Admin, regelmäßige Reviews von Servicekonten, Segmentierung der Systeme zur Erstellung/Abrechnung von Geschenkkarten.
Cloud- und Identitäts-Monitoring: Entra-ID-Audit- und Sign-in-Logs für Geräteregistrierung, MFA-Faktoränderungen, langlebige Tokens, ungewöhnliche Geos/ASNs sowie M365-Aktivität in SharePoint/OneDrive zu sensiblen Stichworten (gift card, voucher, redemption, PIN etc.) prüfen.
Die Erkenntnisse von Palo Alto Networks und Microsoft zu Storm‑0539 sowie branchenweite Analysen (z. B. Verizons DBIR) verdeutlichen den Trend: Der Missbrauch gültiger Konten und Social Engineering dominieren den Initialzugang; klassische Indikatoren für Malware reichen zur Erkennung nicht aus. Unternehmen sollten daher Cloud-spezifische Telemetrie priorisieren, MFA-Härtung vorantreiben und Identitätsprozesse kontinuierlich testen.
Unternehmen im Handel und in verbrauchernahen Services können das Risiko deutlich senken, wenn sie MFA-Basisschutz auf FIDO2-Niveau heben, „stille“ E-Mail-Regeln unterbinden, Geräte- und Authenticator-Registrierung härten und Entra-ID-/M365-Logs aktiv auswerten. Jetzt ist der richtige Zeitpunkt, Playbooks für Cloud-Incident-Response zu aktualisieren, Phishing-Resilienz zu trainieren und Berechtigungen rund um Geschenkkartenprozesse eng zu segmentieren.
