کمیته رکن چهارم– گروهی سایبری با نام Jingle Thief با نفوذ به زیرساخت ابری شرکتهای فعال در حوزه خردهفروشی و خدمات مصرفکننده، اقدام به سرقت میلیونها دلار از طریق صدور غیرمجاز کارتهای هدیه کردهاند.
به گزارش کمیته رکن چهارم، بررسیهای شرکت Palo Alto Networks نشان میدهد این گروه از طریق حملات فیشینگ و اسمیشینگ موفق به سرقت اطلاعات ورود به حسابهای Microsoft 365 شده و سپس با دسترسی به محیط ابری سازمانها، فرآیند صدور کارت هدیه را شناسایی و کنترل کردهاند. حملات آنها اغلب در دورههای تعطیلات و فصلهای جشن رخ میدهد و تمرکز آنها بر صدور و فروش کارتهای هدیه بدون ردپای قابل پیگیری است.
گزارشها حاکی از آن است که این گروه با حفظ دسترسی بلندمدت — حتی تا ۱۰ ماه — به بیش از ۶۰ حساب کاربری در یک سازمان نفوذ کردهاند. آنها پس از ورود، با جستجو در SharePoint و OneDrive، به مستندات حساس از جمله روند صدور کارت هدیه، اطلاعات احراز هویت، و پیکربندیهای شبکه دست یافتهاند. در ادامه، با استفاده از حسابهای بهدستآمده، اقدام به ارسال ایمیلهای فیشینگ داخلی کردهاند تا نفوذ خود را گسترش دهند.
یکی از روشهای مورد استفاده، ایجاد قوانین خودکار در صندوقهای ایمیل بوده تا مکاتبات هکشده به حسابهای تحت کنترل منتقل شده و سپس با حذف سریع پیامها، آثار فعالیت پنهان شود. همچنین ثبت اپلیکیشنهای جعلی برای دور زدن سیستمهای احراز هویت چندمرحلهای (MFA) و باقی ماندن در سیستم حتی پس از بازنشانی رمز عبور، از دیگر تاکتیکهای این گروه است.
گزارش Unit 42 تأکید میکند که برخلاف دیگر گروهها، Jingle Thief تمرکز خود را بر سوءاستفاده از هویت کاربران در بسترهای ابری معطوف کرده و از بدافزارهای اختصاصی استفاده نمیکند؛ این رویکرد، امکان شناسایی فعالیتهای آنها را کاهش داده است. به گفته تحلیلگران، ترکیب تقلب در کارتهای هدیه با دسترسی به گردشکارهای ابری، زمینهای برای اقدامات گستردهتر و پنهانتر فراهم میکند.
