Вместо вирусов — правила в email. Хакеры зарабатывают $100000 в день в сетях ритейлеров

Команда Unit 42 компании Palo Alto Networks представила детальное исследование новой международной кампании финансово мотивированных злоумышленников под кодовым названием Jingle Thief. Группа, действующая с территории Марокко, специализируется на масштабном мошенничестве с подарочными картами, которое активизируется в преддверии праздников. Основные цели — крупные мировые предприятия в сфере розничной торговли и потребительских услуг, использующие облачные платформы, прежде всего Microsoft 365.

По данным Unit 42, за активностью, обозначенной как кластер CL-CRI-1032, с высокой степенью вероятности стоят участники, известные ранее как Atlas Lion и STORM-0539. Эта группа отличается необычайной живучестью в инфраструктуре жертв: в отдельных случаях злоумышленники сохраняли доступ к корпоративным облакам более года, постепенно изучая внутренние процессы и структуры, чтобы получить нужные уровни привилегий. Весной 2025 года Jingle Thief провела серию скоординированных атак против нескольких международных компаний одновременно.

После успешного фишинга или смс-мошенничества злоумышленники входили в Microsoft 365 под украденными учётными записями и начинали разведку. Они исследовали SharePoint и OneDrive, искали документы, связанные с выпусками подарочных сертификатов, финансовыми операциями и внутренними инструкциями, а также подключались к Exchange и Entra ID. Обычным заражением систем или установкой вредоносов группа не пользовалась — всё происходило в облаке через легальные сервисы.

Дальнейшие шаги включали рассылку поддельных уведомлений внутри компаний, что позволяло заражать новые учётные записи. Письма имитировали системные уведомления ServiceNow, запросы ИТ-служб или оповещения о неактивности. Ссылки в таких письмах вели на фальшивые страницы входа Microsoft 365, оформленные под фирменный стиль организации. Так злоумышленники постепенно расширяли присутствие, захватывая десятки аккаунтов и сохраняя контроль над перепиской.

Одним из ключевых приёмов была настройка скрытых правил пересылки писем на внешние адреса, что позволяло пассивно отслеживать коммуникации, связанные с выпуском и утверждением подарочных карт. Чтобы замести следы, атакующие автоматически перемещали отправленные фишинговые письма и ответы пользователей в «Удалённые», лишая сотрудников возможности заметить подозрительную активность.

Для долговременного присутствия группа регистрировала собственные устройства в Entra ID, подключала фальшивые приложения-аутентификаторы и меняла пароли через легитимные механизмы самовосстановления. Это обеспечивало устойчивый доступ, не зависящий от сброса паролей и блокировки сессий. После закрепления в системе участники Jingle Thief переходили к главной цели — выпуску подарочных карт на крупные суммы, которые затем быстро обналичивались или использовались в схемах отмывания денег.

Подарочные сертификаты стали удобной добычей из-за сочетания факторов: минимум персональных данных при активации, сложность отслеживания транзакций, повсеместное использование и слабый контроль внутри корпоративных систем. На серых форумах такие карты продаются со скидкой, что позволяет преступникам оперативно получать наличные. По наблюдениям Unit 42, в одном из эпизодов злоумышленники на протяжении десяти месяцев контролировали более шестидесяти учётных записей одного глобального предприятия и пытались массово выпустить дорогие карты сразу в нескольких программах лояльности.

Все зафиксированные соединения велись из диапазонов IP-адресов марокканских провайдеров MT-MPLS, ASMedi и MAROCCONNECT. Иногда злоумышленники использовали VPN Mysterium, однако часто подключались напрямую, что подтвердило их географическую принадлежность. Повторяющиеся шаблоны доменов и структуры URL-адресов также указывают на единую марокканскую инфраструктуру.

Кампания Jingle Thief показывает, насколько опасным становится сдвиг атак в сторону облачных сервисов. Здесь злоумышленники не взламывают конечные устройства, а используют легальные возможности платформ — от регистрации устройств до настройки правил пересылки почты. Такой подход делает атаки трудными для обнаружения и позволяет действовать месяцами без привлечения внимания.

Специалисты Unit 42 подчёркивают, что для защиты от подобных схем критически важно отслеживать поведение пользователей, анализировать необычные входы и изменения в политике идентификации. Современная киберзащита должна учитывать, что именно цифровая идентичность становится новым периметром безопасности.