Các nhà nghiên cứu an ninh mạng đã tiết lộ thông tin về nhóm tội phạm mạng mang tên Jingle Thief, được phát hiện nhắm mục tiêu vào các môi trường cloud liên quan đến các tổ chức trong lĩnh vực bán lẻ và dịch vụ tiêu dùng để thực hiện hành vi gian lận thẻ quà tặng.
"Những kẻ tấn công Jingle Thief sử dụng phishing và smishing để đánh cắp thông tin đăng nhập, nhằm xâm nhập các tổ chức phát hành thẻ quà tặng," các nhà nghiên cứu Stav Setty và Shachar Roitman của Palo Alto Networks Unit 42 cho biết trong một phân tích hôm thứ Tư. "Một khi chúng có quyền truy cập vào một tổ chức, chúng sẽ tìm kiếm loại và cấp độ truy cập cần thiết để phát hành các thẻ quà tặng trái phép."
Mục tiêu cuối cùng của những nỗ lực này là tận dụng các thẻ quà tặng đã phát hành để kiếm tiền bằng cách có thể bán lại chúng trên các thị trường chợ đen. Thẻ quà tặng là một lựa chọn béo bở vì chúng có thể dễ dàng đổi lấy tiền mặt với ít thông tin cá nhân và khó bị truy vết, khiến các nhà bảo vệ khó điều tra gian lận hơn.
Cái tên Jingle Thief ám chỉ mô hình hoạt động gian lận thẻ quà tặng của tác nhân đe dọa này trùng với các mùa lễ hội và kỳ nghỉ. Công ty an ninh mạng đang theo dõi hoạt động này dưới tên gọi CL‑CRI‑1032, trong đó "CL" là viết tắt của cluster và "CRI" dùng để chỉ động cơ tội phạm.
Cụm đe dọa này đã được quy kết với độ tin cậy vừa phải cho các nhóm tội phạm được theo dõi là Atlas Lion và Storm-0539, với Microsoft mô tả chúng là một nhóm có động cơ tài chính đến từ Morocco. Chúng được cho là đã hoạt động ít nhất từ cuối năm 2021.
Khả năng duy trì chỗ đứng trong các tổ chức bị xâm nhập trong thời gian dài, trong một số trường hợp lên đến hơn một năm, khiến Jingle Thief trở thành một nhóm nguy hiểm. Trong thời gian hoạt động trong các môi trường, tác nhân đe dọa thực hiện trinh sát rộng rãi để lập bản đồ môi trường cloud, di chuyển ngang qua cloud và thực hiện các bước để né tránh phát hiện.
Unit 42 cho biết họ đã quan sát thấy nhóm tin tặc này phát động một làn sóng tấn công phối hợp nhắm vào nhiều doanh nghiệp toàn cầu vào tháng 4 và tháng 5 năm 2025, sử dụng các cuộc tấn công phishing để lấy thông tin đăng nhập cần thiết nhằm đột nhập vào hạ tầng cloud của nạn nhân. Trong một chiến dịch, những kẻ tấn công được cho là đã duy trì quyền truy cập trong khoảng 10 tháng và đột nhập vào 60 tài khoản người dùng trong một tổ chức duy nhất.
"Chúng khai thác hạ tầng cloud để mạo danh người dùng hợp pháp, giành quyền truy cập trái phép vào dữ liệu nhạy cảm và thực hiện gian lận thẻ quà tặng ở quy mô lớn," các nhà nghiên cứu lưu ý.
Các cuộc tấn công thường liên quan đến việc cố gắng truy cập các ứng dụng phát hành thẻ quà tặng để phát hành các thẻ có giá trị cao trên các chương trình khác nhau, đồng thời đảm bảo rằng các hành động này để lại nhật ký và dấu vết pháp y tối thiểu.
Chúng cũng được nhắm mục tiêu cao và được điều chỉnh cho từng nạn nhân cụ thể, với các tác nhân đe dọa thực hiện trinh sát trước khi gửi các trang đăng nhập phishing thuyết phục qua email hoặc SMS có thể đánh lừa nạn nhân và khiến họ nhập thông tin đăng nhập Microsoft 365 của mình.
Ngay sau khi thông tin đăng nhập được thu thập, những kẻ tấn công không lãng phí thời gian đăng nhập vào môi trường và thực hiện vòng trinh sát thứ hai, lần này nhắm mục tiêu vào SharePoint và OneDrive của nạn nhân để lấy thông tin liên quan đến hoạt động kinh doanh, quy trình tài chính và quy trình làm việc IT.
Điều này bao gồm tìm kiếm các quy trình phát hành thẻ quà tặng, cấu hình VPN và hướng dẫn truy cập, bảng tính hoặc hệ thống nội bộ được sử dụng để phát hành hoặc theo dõi thẻ quà tặng, và các chi tiết quan trọng khác liên quan đến virtual machines và môi trường Citrix.
Trong giai đoạn tiếp theo, các tác nhân đe dọa được phát hiện đã tận dụng tài khoản bị xâm nhập để gửi email phishing nội bộ trong tổ chức nhằm mở rộng chỗ đứng của chúng. Những tin nhắn này thường bắt chước các thông báo dịch vụ IT liên quan đến thông báo dịch vụ IT hoặc cập nhật phiếu hỗ trợ bằng cách sử dụng thông tin thu thập được từ tài liệu nội bộ hoặc các giao tiếp trước đó.
Hơn nữa, Jingle Thief được biết đến là tạo các quy tắc hộp thư đến để tự động chuyển tiếp email từ các tài khoản bị hack đến các địa chỉ mà chúng kiểm soát, sau đó xóa dấu vết hoạt động bằng cách chuyển ngay các email đã gửi vào mục Deleted Items.
Trong một số trường hợp, tác nhân đe dọa cũng được quan sát thấy đã đăng ký các ứng dụng authenticator giả mạo để vượt qua các biện pháp bảo vệ multi-factor authentication (MFA) và thậm chí đăng ký thiết bị của chúng vào Entra ID để duy trì quyền truy cập ngay cả sau khi mật khẩu của nạn nhân được đặt lại hoặc các session tokens bị thu hồi.
Ngoài việc tập trung độc quyền vào các dịch vụ cloud thay vì xâm phạm endpoint, một khía cạnh khác khiến các chiến dịch của Jingle Thief đáng chú ý là xu hướng lạm dụng danh tính thay vì triển khai custom malware, do đó giảm thiểu khả năng bị phát hiện.
"Gian lận thẻ quà tặng kết hợp sự lén lút, tốc độ và khả năng mở rộng, đặc biệt khi kết hợp với quyền truy cập vào các môi trường cloud nơi các quy trình phát hành thẻ quà tặng tồn tại," Unit 42 cho biết. "Cách tiếp cận kín đáo này giúp chúng trốn tránh phát hiện trong khi đặt nền móng cho các hành vi gian lận trong tương lai."
"Để khai thác các hệ thống này, các tác nhân đe dọa cần quyền truy cập vào tài liệu và thông tin liên lạc nội bộ. Chúng có thể đạt được điều này bằng cách đánh cắp thông tin đăng nhập và duy trì sự hiện diện âm thầm, dai dẳng trong các môi trường Microsoft 365 của các tổ chức mục tiêu cung cấp dịch vụ thẻ quà tặng."
