Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Erweiterte, anhaltende Bedrohung (APT) Jingle Thief Cybercrime-Gruppe

Jingle Thief Cybercrime-Gruppe

Von Mezo in Erweiterte, anhaltende Bedrohung (APT)
Übersetzen Sie in:

Jingle Thief ist ein finanziell motivierter Cyberkriminellen-Cluster, den Forscher aufgrund seiner gezielten, unauffälligen Angriffe auf Cloud-Umgebungen von Organisationen, die Geschenkkarten ausgeben, im Visier haben. Da Geschenkkarten mit wenigen persönlichen Daten eingelöst und leicht weiterverkauft werden können, ermöglicht die Beeinträchtigung der Ausgabeabläufe schnelle, schwer nachvollziehbare Auszahlungen. Die Aktivitäten der Gruppe zeichnen sich durch lange Verweildauer, sorgfältige Aufklärung und eine Vorliebe für Identitätsmissbrauch gegenüber herkömmlicher Malware aus – eine Kombination, die Erkennung und Reaktion erschwert.

Wer sie sind und wie Forscher sie nennen

Sicherheitsanalysten bezeichnen diesen Aktivitätscluster als CL‑CRI‑1032. Die Bezeichnung lässt sich als Cluster (‚CL‘) mit krimineller Motivation (‚CRI‘) aufschlüsseln. Zuordnungsanalysen, die mit mittlerer Sicherheit durchgeführt wurden, bringen die Aktivität mit kriminellen Gruppen in Verbindung, die als Atlas Lion und Storm‑0539 verfolgt werden. Sie operieren vermutlich von Marokko aus und sind seit mindestens Ende 2021 aktiv. Der Spitzname „Jingle Thief“ spiegelt die Angewohnheit der Gruppe wider, in der Ferienzeit zuzuschlagen, wenn die Nachfrage nach Geschenkkarten und der Druck auf die Herausgeber steigen.

Primäre Ziele und Opferprofil

Jingle Thief konzentriert sich auf Einzelhandels- und Verbraucherdienstleistungsunternehmen, die die Ausgabe von Geschenkkarten über Cloud-Plattformen verwalten. Ihr Ziel ist einfach: Sie erhalten den erforderlichen Zugriff, um hochwertige Geschenkkarten auszugeben und diese dann zu monetarisieren (normalerweise durch Weiterverkauf auf Graumärkten). Sie priorisieren Zugriffe, die ihnen die Ausgabe in großem Umfang ermöglichen und gleichzeitig eine minimale forensische Spur hinterlassen.

Taktiken, Techniken und Verfahren (TTPs)

Anstatt maßgeschneiderte Malware zu entwickeln, verlässt sich Jingle Thief auf Social Engineering und den Missbrauch von Cloud-Identitäten:

  • Diebstahl von Anmeldeinformationen: Die Gruppe nutzt maßgeschneiderte Phishing- und Smishing-Kampagnen, um an Microsoft 365-Anmeldeinformationen zu gelangen. Die Nachrichten werden nach einer ersten Erkundung stark personalisiert und imitieren häufig IT-Hinweise oder Ticket-Updates, um die Klickrate und die Anmeldeinformationsübermittlungsrate zu erhöhen.
  • Identitätsmissbrauch und Identitätsbetrug: Sobald die Anmeldeinformationen erfasst sind, melden sich Angreifer an und geben sich als legitime Benutzer aus, um auf Veröffentlichungs-Apps und vertrauliche Dokumente zuzugreifen. Sie vermeiden bewusst verdächtige Endpunkt-Exploits und bevorzugen stattdessen den Missbrauch cloudnativer Konten.
  • Aufklärung und laterale Bewegung: Nach dem ersten Zugriff kartieren sie den Cloud-Bestand – erkunden SharePoint, OneDrive, VPN-Anleitungen, Tabellenkalkulationen und interne Workflows, die zum Ausstellen oder Verfolgen von Geschenkkarten verwendet werden –, erweitern dann die Berechtigungen und bewegen sich lateral zwischen Cloud-Konten und -Diensten.

Persistenz- und MFA-Bypass-Strategien

Jingle Thief kann sich langfristig (Monate bis über ein Jahr) festsetzen. Zu den beobachteten Persistenztechniken gehören das Erstellen von Posteingangsweiterleitungsregeln, das sofortige Verschieben gesendeter Phishing-Nachrichten in den Ordner „Gelöschte Elemente“, um Spuren zu verwischen, die Registrierung betrügerischer Authentifizierungs-Apps und die Registrierung von Angreifergeräten bei Entra ID. Diese Aktionen ermöglichen es der Gruppe, Passwortzurücksetzungen und Token-Widerrufe zu überstehen und den Zugriff schnell wiederherzustellen.

Betriebsmuster und Umfang

Forscher beobachteten im April und Mai 2025 eine koordinierte Angriffswelle, die sich gegen mehrere Unternehmen weltweit richtete. In einer Kampagne behielten die Angreifer Berichten zufolge etwa zehn Monate lang den Zugriff und kompromittierten rund 60 Benutzerkonten in einer einzigen Opferumgebung. Ihre Operationen zielen oft direkt auf Portale zur Ausgabe von Geschenkkarten ab und geben Karten über mehrere Programme aus, wobei sie versuchen, die Protokollierung und forensischen Metadaten zu minimieren.

Warum Geschenkkartenbetrug attraktiv ist

Geschenkkarten sind für Betrüger attraktiv, da sie mit minimalen Identifikationsdaten eingelöst oder weiterverkauft werden können und ihre Ausgabeprozesse oft weniger streng überwacht werden als bei Finanzzahlungssystemen. Erhalten Angreifer Cloud-Zugriff auf diese Prozesse, können sie Betrugsfälle schnell ausweiten und hinterlassen gleichzeitig weniger offensichtliche Prüfspuren für die Verteidiger.

Indikatoren für einen Kompromiss

  • Unerklärliche Erstellung von Posteingangsregeln oder automatische Weiterleitung an externe Adressen.
  • Neue Authentifizierungsregistrierungen oder unerwartete Geräteregistrierungen in Entra ID.
  • Plötzlicher Anstieg der Ausgabe von Geschenkkarten mit hohem Wert oder Ausgabe außerhalb der normalen Geschäftszeiten.
  • Zugriff auf SharePoint-/OneDrive-Speicherorte, an denen Geschenkkarten-Workflows, Tabellenkalkulationen oder VPN-/IT-Admin-Anleitungen gespeichert sind.
  • Mehrere Postfachanmeldungen von unterschiedlichen geografischen Standorten oder unbekannten IPs, die nicht dem normalen Benutzerverhalten entsprechen.

Empfohlene Abwehrmaßnahmen

  • Erzwingen Sie Phishing-resistente MFA (Passkeys/FIDO2) und blockieren Sie schwache zweite Faktoren, die remote registriert werden können.
  • Verschärfen Sie die Identitätshygiene: Deaktivieren Sie die Legacy-Authentifizierung, fordern Sie Richtlinien für bedingten Zugriff und verwenden Sie Arbeitsstationen mit privilegiertem Zugriff für die Verwaltung.
  • Überwachen und melden Sie sich bei Postfachweiterleitungsregeln, neuen Authentifikator-/Geräteregistrierungen und anormalem Zugriff auf Anwendungen zur Ausgabe von Geschenkkarten.
  • Wenden Sie das Prinzip der geringsten Privilegien auf Ausgabesysteme an und trennen Sie die Workflows zur Ausgabe von Geschenkkarten von allgemeinen Geschäfts-E-Mails/Datenspeichern.

Abschließende Bewertung

Jingle Thief kombiniert tiefgreifende Aufklärung, sorgfältigen Kontomissbrauch, lange Verweildauer und MFA-Umgehungstechniken und macht die Malware zu einem hochriskanten Gegner für jedes Unternehmen, das Geschenkkarten ausgibt. Da die Gruppe Cloud-Identitäts- und Servicefunktionen nutzt und keine verdächtigen Endpunkt-Exploits nutzt, erfordert die Erkennung eine sorgfältige Identitätsüberwachung, strenge MFA-Richtlinien und maßgeschneiderte Kontrollen zum Schutz der Ausgabe-Workflows. Die Priorisierung dieser Abwehrmaßnahmen verringert die Möglichkeit für Angreifer, unbemerkt Karten auszugeben, auszuzahlen und zu verschwinden.

Im Trend

Am häufigsten gesehen

Wird geladen...