Palo Alto Networks повідомляє про новий кримінальний кластер Jingle Thief (CL-CRI-1032), який цілеспрямовано атакує ритейлерів і компанії сфери споживчих послуг. Мета — непомітно захопити хмарні ідентичності, зібрати внутрішні процедури з випуску подарункових карт та організувати їх масову емісію з подальшим продажем на сірому ринку.
Схема атаки: фішинг, smishing і закріплення в Microsoft 365
Кампанії стартують із таргетованого фішингу та smishing (SMS‑фішингу) для викрадення облікових даних. Отримавши доступ до Microsoft 365, зловмисники проводять розвідку у SharePoint і OneDrive, шукаючи регламенти з емісії та обліку подарункових карт, інструкції щодо доступу, VPN‑конфігурації, описи бізнес‑процесів і фінансові процедури.
Далі противник розширює плацдарм: надсилає фішингові листи з уже скомпрометованих поштових скриньок, створює правила автопереадресації й приховує артефакти, переміщуючи вихідні у «Видалені». Важливий елемент — маніпуляція ідентичністю в Entra ID (ex Azure AD): реєстрація підроблених аутентифікаторів для обходу MFA, додавання власних пристроїв у каталог для збереження доступу навіть після скидання паролів і відкликання сесій.
Фокус на хмарі та “тиха” монетизація подарункових карт
Відмінність Jingle Thief — ставка на зловживання хмарними ідентичностями замість розгортання класичної малварі. Такий підхід ускладнює виявлення традиційними EDR‑інструментами, адже дії маскуються під легітимну активність користувача й сервісів. Подарункові карти привабливі для зловмисників, бо їх легко монетизувати, вони потребують мінімум персональних даних і часто мають низьку «токсичність» транзакцій, що ускладнює реагування та форензику.
Масштаб і атрибуція: сезонні піки, споріднені кластері
Palo Alto Networks пов’язує Jingle Thief із відомими кластерами Atlas Lion та Storm‑0539 з помірною впевненістю. Назва підкреслює сезонність: активність зростає під час розпродажів і свят, коли обсяг операцій із подарунковими картами максимальний і контроль слабшає через пікові навантаження.
У квітні–травні 2025 року зафіксована хвиля скоординованих атак на міжнародні компанії. В одному інциденті зловмисники зберігали доступ близько 10 місяців і скомпрометували до 60 облікових записів. Типова dwell time вимірюється місяцями, що дає час для глибокої розвідки та непомітної підготовки до несанкціонованої емісії карт.
TTP за MITRE ATT&CK і ключові індикатори
Тактика Jingle Thief відповідає: T1566 Phishing, T1078 Valid Accounts, T1098 Account Manipulation (MFA/реєстрація пристроїв), T1114 Email Collection (правила поштових скриньок), T1021 та бічний рух у межах M365/Entra ID. Критичний ризик — компрометація хмарних ідентичностей і сервісів, а не кінцевих точок, що потребує окремої стратегії моніторингу.
Практичні заходи захисту для ритейлу та сервісних компаній
Підсиліть аутентифікацію: впроваджуйте фішингостійкі MFA‑методи (FIDO2, сертифікати), забороняйте голос/SMS як основний фактор, жорстко контролюйте самореєстрацію аутентифікаторів і пристроїв у Entra ID.
Політики доступу й детекція: вмикайте Conditional Access із оцінкою ризику входу, блокуйте застарілі протоколи, за замовчуванням забороняйте зовнішню автопереадресацію, відстежуйте створення/зміни поштових правил та anomalous inbox rules у SIEM.
Мінімізація привілеїв: застосовуйте Just‑in‑Time/Just‑Enough Admin, регулярно переглядайте права сервісних обліковок, сегментуйте доступ до систем емісії та обліку подарункових карт.
Моніторинг Microsoft 365/Entra ID: контролюйте додавання пристроїв, зміни факторів MFA, видачу довгоживучих токенів, входи з нетипових географій/ASN, а також активність у SharePoint/OneDrive за ключовими словами (gift card, voucher, redemption, PIN тощо).
Jingle Thief демонструє, що атаки на хмарні ідентичності — практична та рентабельна модель монетизації для кіберзлочинців. Компаніям ритейлу й послуг варто поєднувати жорстке управління доступом із проактивним моніторингом сигналів у Microsoft 365/Entra ID. Перегляньте політики MFA, забороніть «тихі» правила пересилання, обмежте реєстрацію пристроїв і проведіть навчання з фішингу — це скоротить вікно атаки та зменшить ризик випуску несанкціонованих подарункових карт.
