「Jingle Thief」キャンペーンの概要
サイバーセキュリティ研究者たちは、世界中の小売業者や消費者サービス組織を標的とした、認証情報窃盗とギフトカード詐欺による巧妙なキャンペーンを発見しました。この作戦は「Jingle Thief」と名付けられ、企業が金融詐欺の標的になりやすいホリデーショッピングシーズンを悪用しています。Unit 42によってクラスターCL-CRI-1032として追跡されているこのキャンペーンは、2021年から活動しているモロッコを拠点とする金銭目的の脅威アクターによって組織されています。セキュリティ専門家は、この活動が「Atlas Lion」および「STORM-0539」として公に知られている脅威グループと重複している可能性が高いと評価しており、これは企業クラウドインフラに対する持続的かつ進化する脅威を示しています。
「Jingle Thief」が一般的なサイバー犯罪とは異なる点は、攻撃者が侵害された組織内で最長1年以上にわたり、検出されずにアクセスを維持する能力があることです。この期間中、彼らは被害者の環境を徹底的にマッピングし、重要なシステムをナビゲートしてギフトカード発行プラットフォームにアクセスする方法を学習します。この運用上の忍耐力と洗練された偵察技術の組み合わせにより、セキュリティチームにとって検出と修復が特に困難になっています。
脅威アクターは、フィッシングやSMSベースのスミッシング攻撃を通じて初期の認証情報を取得した後、ほぼ排他的にクラウド環境内で活動します。従来のサイバー犯罪者がマルウェアを展開したりエンドポイントの脆弱性を悪用したりするのとは異なり、これらの攻撃者はMicrosoft 365の機能(SharePoint、OneDrive、Exchange、Entra IDを含む)を悪用して、正当なユーザーになりすまし、大規模な詐欺行為を実行します。ある観測されたキャンペーンでは、攻撃者は約10ヶ月間アクセスを維持し、単一のグローバル企業内で60以上ものユーザーアカウントを侵害しました。
脅威アクターは、ホリデー期間中に運用を戦略的に調整し、人員削減とギフトカード取引量の増加を利用して、詐欺行為を隠蔽しています。
巧妙な攻撃チェーン
「Jingle Thief」の攻撃ライフサイクルは、クラウド認証情報を収集するために設計された高度にカスタマイズされたフィッシングキャンペーンから始まります。脅威アクターは、ブランド要素、ログインポータル、電子メールテンプレート、ドメイン命名規則など、標的組織に関する情報を収集するために偵察に多大な労力を費やします。これにより、ユーザーの認識とセキュリティツールの両方を回避する説得力のあるフィッシングコンテンツを作成することができます。
フィッシングメッセージは、欺瞞的なURLフォーマット技術を頻繁に採用し、侵害されたWordPressサーバーから送信される自己ホスト型PHPメーラースクリプトを通じて配信されることがよくあります。一部の誘引は、信頼性を高め、被害者の関与を増やすために非営利団体になりすましています。認証情報が収集されると、攻撃者はマルウェアの展開を必要とせずに、Microsoft 365環境に直接認証します。
初期アクセスを獲得した後、攻撃者はSharePointとOneDrive内で広範な偵察を実行し、ギフトカード発行ワークフロー、チケットシステムのエクスポート、VPN構成、組織のインフラストラクチャの詳細に関連する内部ドキュメントを検索します。この情報収集は、検出プロファイルを低く保ちながら、ギフトカードシステムへの経路を特定するのに役立ちます。
足がかりを拡大するために、脅威アクターは侵害されたアカウントから内部フィッシングキャンペーンを実施し、ServiceNowアラートやアカウント非アクティブ通知を模倣した偽のITサービス通知を送信します。また、ギフトカードの承認や財務ワークフローを含む電子メールを攻撃者制御のアドレスに自動的に転送する悪意のある受信トレイルールを作成し、内部通信の受動的な監視を可能にします。
ギフトカードがサイバー犯罪者を引き付ける理由
ギフトカードは、迅速な収益化の可能性があるため、金銭目的の攻撃者にとって理想的な標的となります。脅威アクターは、盗んだギフトカードを割引価格でグレーマーケットフォーラムで転売し、ほぼ即座に現金化します。
これらのデジタル資産は、償還に必要な個人情報が最小限であり、追跡が困難であり、国際的な管轄区域を越えた低リスクのマネーロンダリングを促進することができます。小売環境は、ギフトカードシステムがしばしばアクセス制御が弱く、広範な内部権限を持ち、監視機能が限られているため、特に脆弱です。観測された攻撃では、脅威アクターは異なるプログラム間で高額なカードを発行しようと繰り返し試み、デジタル窃盗を追跡不可能な通貨に変換するためのマネーロンダリングスキームの担保として使用している可能性があります。
帰属とインフラ分析
キャンペーン活動は、ほぼ排他的にモロッコに地理的に位置するIPアドレスから発信されており、複数のインシデントで繰り返しデバイスのフィンガープリントとログイン行動が観察されています。VPNサービスを通じてその起源を隠す多くの脅威アクターとは異なり、「Jingle Thief」のオペレーターは、モロッコの場所を隠そうとすることはほとんどなく、侵害されたアカウントにアクセスする際にMysterium VPNを時折使用するだけでした。
ネットワークメタデータは、MT-MPLS、ASMedi、MAROCCONNECTを含むモロッコの通信プロバイダーと一貫して一致していました。2025年4月と5月には、脅威アクターは複数のグローバル企業に対して協調的な攻撃を開始し、その継続的な運用能力と標的への集中を示しました。この活動は、Cortex User Entity Behavior Analytics (UEBA) および Identity Threat Detection and Response (ITDR) システムによって検出された行動異常を通じて特定されました。
「Jingle Thief」キャンペーンは、企業セキュリティにおけるIDベースの脅威検出への重要な転換を強調しています。攻撃者が正当なプラットフォーム機能を悪用してクラウド環境内で完全に活動するようになるにつれて、組織はこれらの洗練された詐欺行為に対する早期検出と効果的な対応を可能にするために、ユーザーの行動、ログインパターン、およびIDの悪用を監視することを優先する必要があります。