Специалисты Palo Alto Networks зафиксировали активность новой криминальной группы, получившей название Jingle Thief. По данным компании, злоумышленники системно компрометируют облачные среды ритейлеров и компаний сектора потребительских услуг с целью массового выпуска несанкционированных подарочных карт и их последующей реализации на сером рынке.
Как работает Jingle Thief: фишинг, облачные идентичности и долговременная скрытность
Атаки начинаются с таргетированного фишинга и смішинга (SMS‑фишинга), направленных на кражу учетных данных сотрудников. Получив доступ к Microsoft 365, злоумышленники проводят разведку в SharePoint и OneDrive, выискивая внутренние регламенты по выпуску и отслеживанию подарочных карт, документы по бизнес-процессам, финансовым процедурам, конфигурациям VPN и инструкциям по доступу.
Далее группа расширяет присутствие внутри организации: рассылает фишинговые письма от уже скомпрометированных аккаунтов, создает правила автоматической пересылки и скрывает следы, перемещая исходящие сообщения в папку «Удаленные». Исследователи отмечают злоупотребление возможностями Entra ID (бывш. Azure AD): регистрация поддельных аутентификаторов для обхода MFA, добавление собственных устройств в каталог для сохранения доступа даже после сброса паролей и отзывов сессионных токенов.
Фокус на облаке и «бесшумная» монетизация подарочных карт
Отличительная черта кампаний Jingle Thief — приоритет злоупотребления идентификацией вместо внедрения кастомной малвари, что снижает вероятность детектирования классическими средствами защиты конечных точек. Подарочные карты остаются привлекательной целью: их легко монетизировать, они требуют минимум персональных данных при использовании и плохо отслеживаются. По оценкам экспертов, именно низкая «токсичность» таких транзакций усложняет реагирование и форензику.
Масштаб и атрибуция: сезонная активность и связь с известными кластерами
Palo Alto Networks отслеживает кластер под кодом CL-CRI-1032 и с умеренной степенью уверенности связывает его с группировками Atlas Lion и Storm‑0539, о которой ранее предупреждала и Microsoft. Название Jingle Thief отсылает к сезонности — атаки усиливаются в период распродаж и праздников, когда объем операций с подарочными картами максимален.
Хронология и примеры инцидентов
В апреле–мае 2025 года зафиксирована волна скоординированных атак на ряд международных компаний. В одном из эпизодов злоумышленники удерживали доступ около 10 месяцев, компрометировав до 60 учетных записей. По оценке исследователей, присутствие в сетях жертв нередко длится месяцами и иногда превышает год, что дает группировке время на глубокую разведку и подготовку к выпуску неавторизованных карт.
Разбор TTP: на что обращать внимание службам ИБ
Тактика Jingle Thief укладывается в матрицу MITRE ATT&CK: T1566 Phishing, T1078 Valid Accounts, T1098 Account Manipulation (подмена MFA/регистрация устройств), T1114 Email Collection (правила пересылки) и T1021/боковое перемещение в M365/Entra ID. Ключевой риск — компрометация облачных идентичностей и сервисов, а не конечных точек, что требует отдельной стратегии мониторинга и реагирования.
Практические меры защиты для ритейла и сервисных компаний
Укрепляйте аутентификацию: внедряйте фишинг-устойчивые методы MFA (FIDO2, сертификаты), запрещайте голос/SMS как основной фактор, жестко контролируйте саморегистрацию аутентификаторов и устройств в Entra ID.
Политики доступа и “жирные” признаки атаки: включайте Conditional Access с оценкой риска входа, блокируйте устаревшие протоколы, запрещайте внешнюю авто-переадресацию почты по умолчанию, отслеживайте создание/изменение правил пересылки и anomalous inbox rules в SIEM.
Минимизируйте привилегии: применяйте Just‑in‑Time/Just‑Enough Admin, периодически пересматривайте права сервисных аккаунтов, сегментируйте доступ к системам оформления и учета подарочных карт.
Мониторинг M365/Entra ID: контролируйте добавление устройств, изменения факторов MFA, выдачу долгоживущих токенов, входы из необычных географий/ASN, активность в SharePoint/OneDrive по ключевым ключевым словам (gift card, voucher, redemption, PIN и т. п.).
Jingle Thief демонстрирует, что облачные атаки на идентичности стали практичной моделью монетизации для киберпреступников. Ритейлу и компаниям сферы услуг важно сочетать жесткую политику управления доступами и проактивный мониторинг сигналов в Microsoft 365/Entra ID. Усиление MFA, запрет «тихих» правил пересылки, контроль регистрации устройств и регулярные учения по фишингу помогут сократить окно атаки и предотвратить выпуск несанкционированных подарочных карт.
