Cybersecurity-onderzoekers hebben licht geworpen op een cybercriminele groep genaamd Jingle-dief Er is waargenomen dat deze zich richten op cloudomgevingen die verband houden met organisaties in de detailhandel en de consumentendienstensector voor cadeaukaartfraude.
“Jingle Thief-aanvallers gebruiken phishing en smishing om inloggegevens te stelen, om organisaties die cadeaubonnen uitgeven in gevaar te brengen”, zeiden Palo Alto Networks Unit 42-onderzoekers Stav Setty en Shachar Roitman in een analyse van woensdag. “Zodra ze toegang krijgen tot een organisatie, streven ze naar het type en niveau van toegang dat nodig is om ongeautoriseerde cadeaubonnen uit te geven.”
Het uiteindelijke doel van deze inspanningen is om de uitgegeven cadeaubonnen te gebruiken voor geldelijk gewin door ze waarschijnlijk door te verkopen op grijze markten. Cadeaubonnen zijn een lucratieve keuze, omdat ze gemakkelijk kunnen worden ingewisseld met minimale persoonlijke informatie en moeilijk te traceren zijn, waardoor het voor verdedigers moeilijker wordt om de fraude te onderzoeken.
De naam Jingle Thief is een knipoog naar het patroon van de dreigingsacteur om cadeaukaartfraude uit te voeren die samenvalt met feestdagen en vakantieperioden. Het cyberbeveiligingsbedrijf volgt de activiteit onder de naam CL-CRI-1032, waarbij “CL” staat voor cluster en “CRI” verwijst naar criminele motivatie.
Het dreigingscluster wordt met matig vertrouwen toegeschreven aan criminele groepen die worden gevolgd als Atlas Lion en Storm-0539, waarbij Microsoft het omschrijft als een financieel gemotiveerde ploeg afkomstig uit Marokko. Er wordt aangenomen dat het actief is sinds ten minste eind 2021.
Het vermogen van Jingle Thief om gedurende langere perioden, in sommige gevallen zelfs meer dan een jaar, voet aan de grond te houden binnen gecompromitteerde organisaties, maakt het tot een gevaarlijke groep. Gedurende de tijd die hij met de omgevingen doorbrengt, voert de bedreigingsacteur uitgebreide verkenningen uit om de cloudomgeving in kaart te brengen, beweegt hij zich lateraal door de cloud en onderneemt hij stappen om detectie te omzeilen.
Unit 42 zei te hebben waargenomen dat de hackgroep in april en mei 2025 een golf van gecoördineerde aanvallen lanceerde, gericht op verschillende mondiale ondernemingen, waarbij phishing-aanvallen werden gebruikt om inloggegevens te verkrijgen die nodig zijn om de cloudinfrastructuur van slachtoffers te doorbreken. In één campagne zouden de aanvallers ongeveer 10 maanden toegang hebben behouden en in 60 gebruikersaccounts binnen één organisatie hebben gebroken.
“Ze exploiteren cloudgebaseerde infrastructuur om zich voor te doen als legitieme gebruikers, ongeautoriseerde toegang te krijgen tot gevoelige gegevens en op grote schaal cadeaukaartfraude uit te voeren”, merkten de onderzoekers op.
Bij de aanvallen gaat het vaak om pogingen om toegang te krijgen tot applicaties voor de uitgifte van cadeaubonnen om waardevolle kaarten uit te geven via verschillende programma’s, terwijl er tegelijkertijd voor wordt gezorgd dat deze acties minimale logboeken en forensische sporen achterlaten.
Ze zijn ook zeer doelgericht en op maat gemaakt voor elk slachtoffer, waarbij de bedreigingsactoren verkenningen uitvoeren voordat ze overtuigende phishing-inlogpagina’s via e-mail of sms verzenden die slachtoffers voor de gek kunnen houden en hen kunnen misleiden om hun Microsoft 365-inloggegevens in te voeren.
Zodra de inloggegevens zijn verzameld, verspillen de aanvallers geen tijd met inloggen op de omgeving en voeren ze een tweede verkenningsronde uit, deze keer gericht op de SharePoint en OneDrive van het slachtoffer voor informatie met betrekking tot bedrijfsactiviteiten, financiële processen en IT-workflows.
Dit omvat het zoeken naar workflows voor de uitgifte van cadeaubonnen, VPN-configuraties en toegangsgidsen, spreadsheets of interne systemen die worden gebruikt om cadeaubonnen uit te geven of bij te houden, en andere belangrijke details met betrekking tot virtuele machines en Citrix-omgevingen.
In de volgende fase blijkt dat de bedreigingsactoren het gecompromitteerde account gebruiken om phishing-e-mails intern binnen de organisatie te verzenden om hun positie te vergroten. Deze berichten bootsen vaak IT-servicemeldingen na die verband houden met IT-servicemeldingen of ticketupdates door gebruik te maken van informatie uit interne documentatie of eerdere communicatie.
Bovendien is het bekend dat Jingle Thief inboxregels maakt om e-mails van gehackte accounts automatisch door te sturen naar adressen die onder hun controle staan, en vervolgens sporen van de activiteit verdoezelt door de verzonden e-mails onmiddellijk naar Verwijderde items te verplaatsen.
In sommige gevallen is ook waargenomen dat de bedreigingsacteur frauduleuze authenticator-apps registreert om de bescherming tegen multi-factor authenticatie (MFA) te omzeilen en zelfs zijn apparaten registreert bij Entra ID om de toegang te behouden, zelfs nadat de wachtwoorden van de slachtoffers opnieuw zijn ingesteld of de sessietokens zijn ingetrokken.
Naast hun exclusieve focus op clouddiensten in plaats van het compromitteren van eindpunten, is een ander aspect dat de campagnes van Jingle Thief opmerkelijk maakt hun neiging tot identiteitsmisbruik in plaats van het inzetten van aangepaste malware, waardoor de kans op detectie wordt geminimaliseerd.
“Cadeaukaartfraude combineert stealth, snelheid en schaalbaarheid, vooral in combinatie met toegang tot cloudomgevingen waar de uitgifteworkflows plaatsvinden”, aldus Unit 42. “Deze discrete aanpak helpt detectie te omzeilen en legt tegelijkertijd de basis voor toekomstige fraude.”
“Om deze systemen te kunnen exploiteren, hebben de bedreigingsactoren toegang nodig tot interne documentatie en communicatie. Ze kunnen dit beveiligen door inloggegevens te stelen en een stille, aanhoudende aanwezigheid te behouden binnen Microsoft 365-omgevingen van gerichte organisaties die cadeaukaartdiensten aanbieden.”
