Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch tấn công mạng tinh vi. Chiến dịch này nhắm mục tiêu vào các tổ chức bán lẻ và dịch vụ tiêu dùng toàn cầu. Mục đích là đánh cắp thông tin xác thực và gian lận thẻ quà tặng.

Chiến dịch được đặt tên là “Jingle Thief,” khai thác mùa mua sắm lễ hội. Đây là thời điểm các công ty dễ bị tổn thương nhất trước các sơ đồ gian lận tài chính.

Tổng quan về Chiến dịch “Jingle Thief”

Nguồn gốc và Động cơ của Tác nhân Đe dọa

Chiến dịch được Unit 42 theo dõi dưới mã CL-CRI-1032. Nó được điều hành bởi các tác nhân đe dọa có động cơ tài chính. Những tác nhân này hoạt động từ Morocco và đã hoạt động từ năm 2021.

Các chuyên gia bảo mật đánh giá hoạt động này trùng lặp với các nhóm đe dọa công khai như Atlas Lion và STORM-0539. Điều này đại diện cho một mối đe dọa mạng dai dẳng và đang phát triển. Chúng nhắm vào cơ sở hạ tầng đám mây của doanh nghiệp.

Điểm khác biệt trong Phương thức Tấn công

Điểm khác biệt của Jingle Thief là khả năng duy trì quyền truy cập không bị phát hiện. Các tác nhân có thể tồn tại trong các tổ chức bị xâm nhập trong thời gian dài, đôi khi vượt quá một năm.

Trong thời gian này, họ lập bản đồ kỹ lưỡng môi trường của nạn nhân. Kỹ thuật này giúp họ tìm hiểu cách điều hướng các hệ thống quan trọng. Từ đó truy cập vào các nền tảng phát hành thẻ quà tặng.

Sự kiên nhẫn trong hoạt động kết hợp với kỹ thuật trinh sát tinh vi. Điều này khiến việc phát hiện và khắc phục trở nên đặc biệt khó khăn cho các đội ngũ bảo mật.

Giai đoạn và Kỹ thuật Tấn công Mạng

Thu thập Thông tin Xác thực ban đầu

Các tác nhân đe dọa hoạt động gần như độc quyền trong môi trường đám mây. Quyền truy cập ban đầu được lấy thông qua các cuộc tấn công lừa đảo (phishing) và smishing (lừa đảo qua SMS).

Không giống tội phạm mạng thông thường triển khai mã độc. Những kẻ tấn công này tận dụng các tính năng của Microsoft 365. Bao gồm SharePoint, OneDrive, Exchange và Entra ID. Mục đích là mạo danh người dùng hợp pháp và tiến hành các hoạt động gian lận quy mô lớn.

Trong một chiến dịch được quan sát, kẻ tấn công đã duy trì quyền truy cập trong khoảng 10 tháng. Hơn 60 tài khoản người dùng đã bị xâm nhập trong một doanh nghiệp toàn cầu duy nhất. Bạn có thể đọc thêm chi tiết về chiến dịch này tại Unit 42 của Palo Alto Networks.

Các tác nhân đe dọa thường căn chỉnh hoạt động với các kỳ nghỉ lễ. Họ tận dụng số lượng nhân viên giảm và khối lượng giao dịch thẻ quà tặng tăng. Điều này giúp che giấu các hoạt động gian lận của họ.

Vòng đời tấn công của Jingle Thief bắt đầu bằng các chiến dịch lừa đảo được tùy chỉnh cao. Chúng được thiết kế để thu thập thông tin xác thực đám mây.

Kẻ tấn công đầu tư đáng kể vào trinh sát. Họ thu thập thông tin tình báo về các tổ chức mục tiêu. Bao gồm yếu tố thương hiệu, cổng đăng nhập, mẫu email và quy ước đặt tên miền. Điều này cho phép họ tạo ra nội dung lừa đảo thuyết phục. Các nội dung này có thể vượt qua cả nhận thức người dùng và công cụ bảo mật.

Trang lừa đảo thông tin xác thực được tạo ra để mạo danh cổng đăng nhập Microsoft 365 hợp pháp. Nó được tùy chỉnh theo thương hiệu của tổ chức nạn nhân.

Các tin nhắn lừa đảo thường sử dụng kỹ thuật định dạng URL đánh lừa. Chúng thường được gửi qua các script PHP mailer tự host từ các máy chủ WordPress bị xâm nhập.

Một số mồi nhử mạo danh các tổ chức phi lợi nhuận để tăng độ tin cậy. Khi thông tin xác thực được thu thập, kẻ tấn công xác thực trực tiếp vào môi trường Microsoft 365. Việc này không yêu cầu triển khai mã độc.

Khai thác Môi trường Đám mây và Reconnaissance

Sau khi có quyền truy cập ban đầu, kẻ tấn công thực hiện trinh sát mở rộng trong SharePoint và OneDrive. Họ tìm kiếm tài liệu nội bộ liên quan đến quy trình phát hành thẻ quà tặng. Bao gồm xuất dữ liệu hệ thống ticketing, cấu hình VPN và chi tiết cơ sở hạ tầng tổ chức.

Thu thập thông tin tình báo này giúp họ xác định các đường dẫn đến hệ thống thẻ quà tặng. Đồng thời duy trì một hồ sơ phát hiện thấp.

Mở rộng Quyền truy cập và Giám sát Nội bộ

Để mở rộng quyền kiểm soát, tác nhân đe dọa tiến hành các chiến dịch lừa đảo nội bộ. Chúng được thực hiện từ các tài khoản bị xâm nhập. Họ gửi các thông báo dịch vụ IT giả mạo giống như cảnh báo ServiceNow hoặc thông báo tài khoản không hoạt động.

Họ cũng tạo các quy tắc hộp thư đến độc hại. Các quy tắc này tự động chuyển tiếp email chứa phê duyệt thẻ quà tặng và quy trình tài chính. Chúng được gửi đến các địa chỉ do kẻ tấn công kiểm soát. Điều này cho phép giám sát thụ động các giao tiếp nội bộ.

Mục tiêu và Phương thức Tiền tệ hóa

Mục tiêu Thẻ quà tặng và Khả năng quy đổi

Thẻ quà tặng là mục tiêu lý tưởng cho các tác nhân có động cơ tài chính. Lý do là khả năng tiền tệ hóa nhanh chóng. Các tác nhân đe dọa bán lại thẻ quà tặng bị đánh cắp trên các diễn đàn chợ đen với giá chiết khấu. Điều này tạo ra dòng tiền mặt gần như tức thì.

Những tài sản kỹ thuật số này yêu cầu ít thông tin cá nhân để đổi. Chúng khó truy tìm và có thể tạo điều kiện cho rửa tiền có rủi ro thấp. Đây là một thách thức lớn trong an ninh mạng.

Kẻ tấn công di chuyển các email trả lời lừa đảo từ thư mục Inbox sang thư mục Deleted Items. Điều này giúp che giấu hành vi của chúng.

Điểm yếu của Hệ thống Bán lẻ

Môi trường bán lẻ đặc biệt dễ bị tổn thương. Hệ thống thẻ quà tặng thường có kiểm soát truy cập yếu. Chúng có quyền hạn nội bộ rộng rãi và khả năng giám sát hạn chế.

Trong các cuộc tấn công được quan sát, các tác nhân đe dọa liên tục cố gắng phát hành thẻ giá trị cao. Các thẻ này được phát hành qua các chương trình khác nhau. Chúng có khả năng được sử dụng làm tài sản thế chấp trong các kế hoạch rửa tiền. Mục đích là chuyển đổi hành vi đánh cắp dữ liệu kỹ thuật số thành tiền tệ không thể truy vết.

Chỉ số Thỏa hiệp và Bảo vệ An ninh Mạng

Chỉ số Thỏa hiệp (Indicators of Compromise – IOCs)

• Hoạt động chiến dịch gần như độc quyền bắt nguồn từ các địa chỉ IP được định vị địa lý ở Morocco.
• Dấu vân tay thiết bị và hành vi đăng nhập lặp lại được quan sát trong nhiều sự cố.
• Các nhà khai thác Jingle Thief đôi khi sử dụng Mysterium VPN khi truy cập các tài khoản bị xâm nhập.
• Metadata mạng nhất quán khớp với các nhà cung cấp viễn thông Morocco. Bao gồm MT-MPLS, ASMedi và MAROCCONNECT.
• Mã cụm chiến dịch: CL-CRI-1032.
• Các nhóm đe dọa liên quan: Atlas Lion, STORM-0539.

Phản ứng và Bảo vệ An ninh Mạng

Vào tháng 4 và tháng 5 năm 2025, các tác nhân đe dọa đã phát động các cuộc tấn công phối hợp. Các cuộc tấn công này nhắm vào nhiều doanh nghiệp toàn cầu. Điều này chứng tỏ khả năng hoạt động liên tục và sự tập trung vào mục tiêu của chúng.

Hoạt động này được xác định thông qua các bất thường hành vi được phát hiện bởi Cortex User Entity Behavior Analytics (UEBA). Cũng như Identity Threat Detection and Response (ITDR).

Chiến dịch Jingle Thief nhấn mạnh sự thay đổi quan trọng trong an ninh mạng doanh nghiệp. Đó là hướng tới phát hiện mối đe dọa dựa trên định danh.

Khi kẻ tấn công ngày càng hoạt động hoàn toàn trong môi trường đám mây. Chúng lạm dụng các tính năng nền tảng hợp pháp. Các tổ chức phải ưu tiên giám sát hành vi người dùng, mẫu đăng nhập và lạm dụng định danh. Điều này giúp phát hiện sớm và phản ứng hiệu quả chống lại các hoạt động gian lận tinh vi này. Đây là yếu tố then chốt để chống lại các tấn công mạng ngày càng phức tạp.