Jingle Thief: марокканские хакеры годами скрытно крадут подарочные карты через Microsoft 365

Расследуемая активность, отслеживаемая как кластер CL‑CRI‑1032, демонстрирует высокую оперативную выдержку: злоумышленники могут оставаться внутри систем организации более года, тщательно изучая окружение и избегая обнаружения. По оценкам аналитиков, с умеренной долей уверенности этот кластер пересекается с деятельностью группировок, известных публично как Atlas Lion и STORM-0539.

В апреле-мае 2025 года исполнители кампании Jingle Thief провели скоординированную волну атак на ряд международных компаний. Их тактика принципиально отличается от подходов многих других угроз: вместо эксплуатации уязвимостей на конечных точках или использования стандартного вредоносного ПО, они почти исключительно работают в облачных средах после получения учетных данных через фишинг.

Анатомия атаки: от фишинга до мошенничества

В одном из расследованных инцидентов злоумышленники сохраняли доступ в течение примерно 10 месяцев и скомпрометировали более 60 учетных записей в рамках одной глобальной компании. Вся их деятельность была сосредоточена на сервисах Microsoft 365, включая SharePoint, OneDrive, Exchange и Entra ID, что демонстрирует адаптивность и оперативное терпение.

Жизненный цикл атаки начинается с целевого фишинга или смс-фишинга (smishing). Сообщения заманивают жертв на поддельные страницы входа в Microsoft 365, которые точно копируют брендирование атакуемой организации. Для повышения доверия в качестве приманки иногда используются вымышленные благотворительные организации. Рассылка часто осуществляется с использованием самодельных PHP-скриптов, размещенных на скомпрометированных WordPress-серверах, что маскирует источник атаки.

После кражи учетных данных злоумышленники входят в облачную среду и приступают к разведке. Они тщательно изучают SharePoint и OneDrive в поисках внутренней документации: инструкций по выпуску подарочных карт, экспортов из тикет-систем, руководств по настройке VPN и электронных таблиц для их учета. Это позволяет им построить точную картину рабочих процессов, не прибегая к эскалации привилегий и оставаясь незамеченными.

Для расширения доступа внутри организации Jingle Thief используют внутренний фишинг. Со скомпрометированных legit-аккаунтов они рассылают коллегам жертв письма, маскирующиеся под уведомления от IT-службы, например, о «завершении инцидента» или «неактивности учетной записи». Ссылки в таких письма ведут на фишинговые страницы с корпоративным брендированием, что повышает доверие получателей.

Скрытность и персистентность: управление почтой и устройствами

Ключевой элемент скрытности - установка правил пересылки в почтовом ящике. Атакующие настраивают автоматическую пересылку писем, связанных с одобрением заявок на карты, финансовыми операциями и IT-тикетами, на контролируемые ими адреса. Это позволяет пассивно мониторить коммуникации, не проявляя активность. Для заметания следов фишинговые письма, отправленные с компрометированных аккаунтов, и ответы на них немедленно перемещаются из папки «Отправленные» и «Входящие» в «Удаленные».

Для обеспечения долговременного доступа, даже после смены паролей, группа применяет тактики злоупотребления легитимными механизмами Microsoft Entra ID. Они регистрируют подконтрольные им устройства и поддельные приложения для многфакторной аутентификации (MFA), что позволяет сохранять доступ в обход стандартных мер безопасности.

Почему именно подарочные карты?

Подарочные карты представляют для финансово мотивированных хакеров идеальную цель. Их легко monetize (обналичить), перепродавая на серых рынках со скидкой, что обеспечивает быстрый денежный поток. Такие операции трудно отследить, они требуют минимальной личной информации для активации и часто используются для отмывания денег с низким уровнем риска. Системы выпуска карт внутри компаний зачастую имеют слабые контроли доступа и недостаточный мониторинг, будучи доступными широкому кругу сотрудников.

В наблюдаемой кампании злоумышленники неоднократно пытались получить доступ к нескольким приложениям для выпуска карт, стремясь создать карты высокой стоимости для последующей монетизации или использования в схемах отмывания.

Марокканский след

Почти вся активность, связанная с Jingle Thief, исходила из IP-адресов, географически расположенных в Марокко. В отличие от многих групп, эти исполнители часто не скрывали свое происхождение, используя VPN-сервис Mysterium лишь эпизодически. Анализ номеров автономных систем (ASN) устойчиво указывал на марокканских интернет-провайдеров, таких как MT-MPLS, ASMedi и MAROCCONNECT. Повторяющиеся шаблоны в названиях доменов и структуре URL также подтверждают связь с этой страной.

Выводы для защитников

Кампания Jingle Thief наглядно демонстрирует, как современные злоумышленники могут годами вести операции исключительно в облачных средах, злоупотребляя легитимными функциями для фишинга, обеспечения персистентности и мошенничества. Их успех основан на компрометации идентичности (учетных записей), которая становится новым периметром безопасности.

IPv4

• 105.156.109.227
• 105.157.86.136
• 105.158.226.49
• 105.158.237.165
• 160.176.128.242
• 160.178.201.89
• 160.179.102.157
• 196.64.165.160
• 196.65.139.51
• 196.65.146.114
• 196.65.172.48
• 196.65.237.97
• 196.74.125.243
• 196.74.183.81
• 196.77.47.232
• 196.89.141.80
• 41.141.201.19
• 41.250.180.114
• 41.250.190.104
• 70.187.192.236
• 72.49.91.23

Phishing URL Patterns

• hxxps://*.com.ng/*[brand-name].com/home/
• hxxps://*.[brand-name].servicenow.*/*access
• hxxps://[brand-name].com@*.*/portal/
• hxxps://[brand-name].com@*.*/workspace
• hxxps://*/home
• hxxps://*/workspace/home