Er is een uitgebreide fraudecampagne ontstaan die gericht is op grote ondernemingen die cadeaubonnen uitgeven, en onderzoekers zeggen dat de aanvallers niet ongecompliceerd of klein zijn. In plaats daarvan heeft een groep die vanuit Marokko opereert stilletjes de cloudsystemen van het bedrijf geïnfiltreerd, identiteitstools uitgebuit en hoogwaardige cadeaubonnen uitgegeven voor wederverkoop. De campagne is “Jingle Thief” genoemd door het beveiligingsteam van Unit 42 , de onderzoekstak voor cyberdreigingen van Palo Alto Networks.
De zwendel begint met relatief eenvoudige middelen. Phishing en smishing (phishing op basis van sms) worden verzonden naar werknemers van wereldwijde retail- en consumentenservicebedrijven. De aanvallers doen zich voor als bekende, vertrouwde entiteiten (bijv. non-profitorganisaties, interne IT-meldingen of updates van ticketsystemen) om slachtoffers te verleiden tot het overhandigen van inloggegevens. Eenmaal in de cloudomgeving van een bedrijf gaan ze verder met verkenning, zijwaartse beweging en doorzettingsvermogen.
Wat opvalt, is hoe weinig malware er wordt gebruikt. De aanvallers vertrouwen overweldigend op misbruik van cloudidentiteit in plaats van kwaadaardige code op eindpunten te laten vallen. Ze registreren malafide apparaten, registreren kwaadaardige authenticator-apps, stellen inboxregels in die gevoelige goedkeuringsmails doorsturen naar door aanvallers gecontroleerde accounts en krijgen stilletjes toegang tot documentshares die de workflows en uitgiftesystemen van cadeaubonnen volgen.
Bij één incident behielden de bedreigingsactoren ongeveer tien maanden lang toegang tot een enkele bedrijfsomgeving en compromitteerden ze meer dan zestig gebruikersaccounts.
De reeks volgt doorgaans drie fasen:
Eerste compromis: Een phishing-e-mail leidt tot extractie van inloggegevens. De URL kan legitiem lijken, maar leidt de gebruiker in feite naar een vijandige site.
Cloudverkenning en zijwaartse beweging: na het inloggen verkennen de aanvallers SharePoint, OneDrive, Exchange en andere bronnen, op zoek naar workflows voor de uitgifte van cadeaubonnen, goedkeuringsketens, export van tickets, VPN-toegangsgidsen en interne spreadsheets.
Uitvoering van fraude: Zodra de juiste applicatie of workflow is geïdentificeerd, geven de aanvallers cadeaubonnen uit, vaak met een hoge waarde, met behulp van de gecompromitteerde inloggegevens. Ze zetten die kaarten vervolgens om in contanten of verplaatsen ze via grijze marktkanalen. Dit alles gebeurt met minimale logsporen en zonder malware.
Een van de grote voordelen voor de fraudeurs is de manier waarop cadeaukaarten door veel bedrijven intern worden behandeld. Omdat deze systemen vaak buiten de financiële kerncontroles vallen, worden ze minder vaak gecontroleerd en geregistreerd dan banksystemen. Dat geeft aanvallers zowel kans als dekking.
Cadeaubonnen zijn ideale doelwitten
Verschillende factoren maken cadeaubonnen tot een bijzonder verleidelijk doelwit voor cyberfraude. Ten eerste hebben ze minimale persoonlijke gegevens nodig om in te wisselen en kunnen ze worden omgezet in contanten of anoniem worden gebruikt, waardoor ze moeilijk te traceren zijn. Ten tweede hebben uitgiftesystemen vaak brede interne machtigingen en een zwakkere controle dan betaalkaartsystemen. Ten derde ontsnapt fraude via cadeaubonnen vaak aan de onmiddellijke aandacht van financiële risicoteams, omdat de bedragen als legitieme operaties kunnen lijken totdat ze escaleren.
Seizoensgebonden timing speelt ook een rol. De “Jingle Thief”-campagne is genoemd naar de verhoogde activiteit tijdens vakantieperiodes wanneer de uitgifte van cadeaubonnen hoog is en het personeel mogelijk minder waakzaam is. Aanvallers timen hun invallen voor wanneer de verdediging wordt uitgerekt.
De Marokkaanse hackersgroep en zijn tactieken
Onderzoekers van Unit 42 schrijven deze campagne, met matig vertrouwen, toe aan een cluster van dreigingsactoren die worden gevolgd als CL-CRI-1032. Aangenomen wordt dat deze cluster overlapt met groepen die bekend staan als Atlas Lion en Storm-0539, beide gevestigd in Marokko en actief sinds ten minste eind 2021.
Wat ongebruikelijk is, is hoe ze zich op dezelfde manier gedragen als door de staat gesponsorde groepen: lange verblijftijden, zware verkenning en cloud-native operaties. Maar ze zijn eerder financieel gemotiveerd dan politiek. Ze vermijden bewust malware en endpoint-aanvallen omdat deze de ruis en het detectierisico vergroten. Ze opereren het liefst volledig binnen de identiteitslaag.
Een ander voorbeeld van hun heimelijkheid is hoe ze misbruik maken van apparaatregistratie. Nadat ze inloggegevens hebben verkregen, schrijven ze hun eigen virtuele machines of apparaten in onder het domein van de doelorganisatie, waarbij ze vaak gebruikmaken van de cloudinfrastructuur om op te gaan. Zodra het kwaadaardige apparaat deel uitmaakt van de omgeving, gedraagt het zich als een legitiem bedrijfseindpunt.
Wat bedrijven moeten doen om zich te verdedigen
Voor organisaties in de detailhandel, consumentendiensten of elk bedrijf dat cadeaubonnen uitgeeft, is het risicomodel verschoven. Identiteits- en cloudworkflows staan nu in de frontlinie. Verdedigers moeten zich richten op malwarepreventie en identiteitsgebruik, apparaatregistratie, zichtbaarheid van de interne workflow en domeinbrede detectie.
Wat begon als een fraudedomein met een relatief laag risico (het stelen van cadeauboncodes) is uitgegroeid tot een geavanceerde cloudgebaseerde misdaad. De Jingle Thief-campagne laat zien hoe aanvallers nu misbruik maken van identiteitssystemen, cloudworkloads en interne workflows om activa te stelen waarmee geld wordt verdiend, zoals contant geld. Bedrijven die cadeaubonnen uitgeven, moeten die systemen nu zien als grote financiële risicogebieden.
Als u deel uitmaakt van een organisatie die de uitgifte van cadeaubonnen afhandelt, is de boodschap duidelijk: de vijand bevindt zich misschien al in uw identiteitsinfrastructuur en brengt geduldig uw cloud- en bedrijfsworkflows in kaart. Wat u dacht dat een administratief gemak was, kan nu een toegangspoort zijn voor fraude.