كشف باحثون في الأمن السيبراني عن نشاط عصابة إلكترونية تُعرف باسم Jingle Thief تستهدف بيئات سحابية تابعة لمنظمات في قطاعَي التجزئة وخدمات المستهلكين لتنفيذ عمليات احتيال على بطاقات الهدايا.
سرقة بيانات الاعتماد ثم إصدار بطاقات غير مصرح بها
أوضح باحثان من Unit 42 في شركة Palo Alto Networks — Stav Setty وShachar Roitman — أن مهاجمي Jingle Thief يستخدمون الهجمات الاحتيالية عبر البريد الإلكتروني (phishing) والرسائل النصية الاحتيالية (smishing) لسرقة بيانات اعتماد موظفين في المنظمات التي تصدر بطاقات الهدايا. بعد الحصول على الوصول، يسعى المهاجمون للحصول على مستوى الصلاحية اللازم لإصدار بطاقات هدايا غير مُصرّح بها، ثم يستغلون هذه البطاقات لتحقيق مكاسب مالية عبر إعادة بيعها في الأسواق الرمادية حيث يصعب تتبُّعها واسترداد قيمتها.
تعطيل التتبع والبقاء داخل البيئة لفترات طويلة
سُجّلت قدرة المجموعة على الحفاظ على وجود داخلي داخل البيئات المخترقة لفترات طويلة — في بعض الحالات لأكثر من عام — ما يجعلها خطيرة للغاية. خلال تلك الفترة يُجري المهاجمون استطلاعًا موسعًا للخريطة السحابية والتنقُّل الجانبي عبر الخدمات لتقليل فرص الكشف. رصدت Unit 42 موجة من الهجمات المنسقة ضد مؤسسات عالمية في أبريل ومايو 2025، وفي حملة واحدة احتفظ المهاجمون بالوصول نحو 10 أشهر وخرقوا 60 حساب مستخدم داخل منظمة واحدة.
استهداف Microsoft 365 وسرقة الوثائق التشغيلية
تعتمد سلسلة هجمات Jingle Thief على صفحات تسجيل دخول احتيالية تُرسل عبر البريد أو الرسائل القصيرة لخداع ضحايا Microsoft 365 لإدخال بيانات اعتمادهم. فور حصاد هذه البيانات، يقوم المهاجمون بجولة استطلاع ثانية تلاحق مخازن المعلومات في SharePoint وOneDrive بحثًا عن وثائق تشغيلية ومالية وعملياتية — مثل آليات وإجراءات إصدار بطاقات الهدايا، تكوينات VPN، وأدلة الوصول، وجداول تتبع البطاقات، وأنظمة الآلات الافتراضية وبيئات Citrix — كل ما يساعدهم على الوصول إلى تطبيقات إصدار البطاقات وتنفيذ الاحتيال على نطاق واسع مع ترك سجلات جنائية قليلة.
تكتيكات التمكين والمراوغة داخل البريد والتوثيق
يلجأ الجُناة إلى إرسال رسائل احتيالية داخلية تنبثق من الحسابات المخترقة لزيادة نطاق النفوذ، وغالبًا ما تُحاكي إشعارات خدمات تكنولوجيا المعلومات أو تحديثات تذاكر الدعم مستخدمةً معلومات مستقاة من الوثائق الداخلية. كما ينشئون قواعد صندوق وارد تقوم بإعادة توجيه الرسائل تلقائيًا إلى عناوين تحت سيطرتهم، ثم يحذفون آثار هذه الأنشطة بنقل الرسائل المرسلة إلى مجلد العناصر المحذوفة. في بعض الحالات رُصد تسجيل تطبيقات مصدق احتيالية (rogue authenticator apps) لتجاوز الحماية متعددة العوامل، وتسجيل أجهزة المهاجمين في Entra ID لضمان بقاء الوصول حتى بعد إعادة تعيين كلمات المرور أو إبطال رموز الجلسة.
تُبرز Unit 42 أن اهتمام Jingle Thief بالمسائل الهوية والوصول في السحابة بدلاً من نشر برمجيات خبيثة مخصصة يجعل اكتشافهم أصعب، وأن نموذج الاحتيال ببطاقات الهدايا يجمع بين التخفي والسرعة وقابلية التوسع عندما يُقرَن بوصول إلى بيئات إصدار البطاقات السحابية.
