HackerNews 编译,转载请注明出处:
网络安全研究人员披露了一个名为 “圣诞盗贼”(Jingle Thief)的网络犯罪团伙,该团伙针对零售和消费服务行业组织的云环境发起攻击,实施礼品卡诈骗。
“‘圣诞盗贼’攻击者通过钓鱼和短信钓鱼窃取凭证,入侵发行礼品卡的机构。” 帕洛阿尔托网络公司 Unit 42 的研究员斯塔夫・塞蒂和沙查尔・罗伊特曼在周三的分析报告中表示,“一旦进入组织内部,他们就会设法获取发行未授权礼品卡所需的权限类型和级别。”
这些行动的最终目标是通过在灰色市场转售非法获取的礼品卡牟利。礼品卡之所以成为热门目标,是因为其兑换流程简单、所需个人信息极少,且难以追踪,这使得防御方难以调查欺诈行为。
“圣诞盗贼” 这一名称源于该威胁行为者的作案模式 —— 其礼品卡诈骗活动往往与节假日和庆典季同步。这家网络安全公司将该活动标记为 CL-CRI-1032,其中 “CL” 代表攻击集群,“CRI” 表示犯罪动机。
研究人员中度确信,该威胁集群与 “阿特拉斯雄狮”(Atlas Lion)和 “风暴 - 0539”(Storm-0539)犯罪团伙有关联。微软称这是一个源自摩洛哥的以经济利益为驱动的团伙,至少自 2021 年末起开始活跃。
“圣诞盗贼” 能够在被入侵组织中长期潜伏(部分案例长达一年以上),这使其成为极具危险性的团伙。在潜伏期间,该威胁行为者会进行全面侦察以绘制云环境地图,在云端横向移动,并采取措施规避检测。
Unit 42 表示,该黑客团伙于 2025 年 4 月至 5 月发起了一波协同攻击,目标是多家全球企业,通过钓鱼攻击获取入侵受害者云基础设施所需的凭证。在某次活动中,攻击者维持了约 10 个月的访问权限,并侵入了单个组织的 60 个用户账户。
研究人员指出:“他们利用云基础设施冒充合法用户,非法访问敏感数据,并大规模实施礼品卡诈骗。”
攻击过程中,攻击者常常试图入侵礼品卡发行系统,在不同项目中发行高价值卡,同时竭力减少操作日志和取证痕迹。
他们的攻击极具针对性,会根据每个受害者的情况定制方案:先进行侦察,再通过邮件或短信发送极具迷惑性的钓鱼登录页面,诱骗受害者输入微软 365 凭证。
一旦获取凭证,攻击者会立即登录目标环境并展开第二轮侦察,此次重点是受害者的 SharePoint 和 OneDrive,搜寻与业务运营、财务流程和 IT 工作流相关的信息。
这包括查找礼品卡发行流程、VPN 配置及访问指南、用于发行或追踪礼品卡的电子表格或内部系统,以及与虚拟机和 Citrix 环境相关的关键细节。
在后续阶段,攻击者会利用已 compromised 的账户在组织内部发送钓鱼邮件,以扩大立足点。这些邮件通常模仿 IT 服务通知或工单更新,内容基于从内部文档或过往通信中窃取的信息。
此外,“圣诞盗贼” 还会创建收件箱规则,将被黑账户的邮件自动转发至其控制的地址,随后立即将发送记录移至 “已删除邮件” 以掩盖痕迹。
在部分案例中,观察到该威胁行为者注册恶意验证器应用以绕过多因素认证(MFA)保护,甚至将其设备注册到 Entra ID 中,以便在受害者重置密码或吊销会话令牌后仍能维持访问。
除了专注于云服务而非端点入侵外,“圣诞盗贼” 的另一显著特点是倾向于滥用身份而非部署定制恶意软件,从而最大限度降低被检测的概率。
Unit 42 表示:“礼品卡诈骗结合了隐蔽性、速度和规模性,尤其是当攻击者能够访问存放发行流程的云环境时。这种谨慎的方式有助于规避检测,同时为后续欺诈行为奠定基础。”
“要入侵这些系统,威胁行为者需要获取内部文档和通信记录。他们通过窃取凭证,并在提供礼品卡服务的目标组织的微软 365 环境中保持低调且持久的存在,来实现这一目的。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
