كشف تقرير باحثي Unit 42 في Palo Alto Networks عن مجموعة إجرامية تسمى Jingle Thief تتركز هجماتها على بيئات الحوسبة السحابية لدى شركات التجزئة ومزودي بطاقات الهدايا، وتهدف إلى إصدار بطاقات هدايا بصورة غير مصرح بها ثم تصريفها في أسواق رمادية.
تبدأ الحملات عادة بحملات تصيد إلكتروني ورسائل نصية مخادعة لسرقة بيانات الاعتماد، ثم يلجأ المهاجمون إلى الدخول إلى بيئات Microsoft 365 للمؤسسة، حيث يقومون بالاستطلاع داخل SharePoint وOneDrive بحثاً عن سير عمل إصدار البطاقات ومستندات التشغيل والملفات التي تحتوي على تعليمات إصدار أو قوائم حسابات.
بعد الحصول على بيانات الاعتماد، يجري المهاجمون تحركات جانبية داخل البيئة السحابية لرسم خريطة البنية وتهيئة الوصول اللازم لتطبيقات إصدار البطاقات، مع محاولات لإخفاء الآثار عن طريق تقليل السجلات أو تعديل قواعد البريد تعيد توجيه الرسائل وتحرك المراسلات المرسلة إلى مجلد المحذوفات فور إرسالها.
سجل البحث حالات بقاء طويل للمخترقين داخل شبكات الضحايا أحياناً لأشهر أو أكثر من عام، ما يتيح لهم تنفيذ عمليات إصدار بطاقات بقيم عالية مع ترك آثار جنائية ضئيلة وصعوبة تتبع الأموال لاحقاً.
تنطوي التقنيات المستخدمة على إنشاء قواعد تلقائية في صناديق البريد لإعادة توجيه الرسائل، وتسجيل تطبيقات مصادقة مزيفة لتجاوز التحقق المتعدد MFA، وأحياناً تسجيل أجهزة خبيثة داخل Entra ID للحفاظ على النفوذ حتى بعد إعادة تعيين كلمات المرور أو إبطال رموز الجلسة.
تفضل المجموعة في الغالب أساليب سوء استخدام الهوية والعمليات الداخلية عوض نشر برمجيات خبيثة معقدة، لأن ذلك يقلل فرص الكشف ويزيد سرعة وسهولة السحب المالي عبر بطاقات الهدايا القابلة للصرف بسرعة وبمعلومات شخصية محدودة.
توصي Unit 42 بتشديد حماية بيانات الاعتماد عبر فرض سياسات صارمة لكلمات المرور واستخدام طرق مصادقة قوية، تفعيل مراقبة الاكتشاف المبكر على نشاط تسجيل الدخول، وتقييد إمكانية الوصول إلى سير عمل إصدار البطاقات بحيث يمنح فقط الأشخاص والأدوار الضرورية.
كما ينصح بتفعيل التنبيهات على أي تسجيل لتطبيقات مصادقة جديدة أو أجهزة Entra ID غير مألوفة، ومراجعة قواعد البريد الوارد والصادرة دورياً لاكتشاف أي إعادة توجيه أو قواعد آلية مشبوهة، وحفظ سجلات كاملة لأنشطة إدارة البطاقات وإجراء تدقيقات دورية.
