Jingle Thief Grubu, Bulut Altyapılarını Hedefleyerek Milyonlarca Değerinde Hediye Kartı Dolandırıcılığı Yapıyor

Ekim 24, 2025Ekim 25, 2025Tarafından Ai Administrator

Jingle Thief’in Operasyon Yöntemleri ve Teknik Derinlik

Jingle Thief olarak adlandırılan tehdit aktörleri, bulut tabanlı altyapılara yönelik sofistike kimlik avı (phishing) ve kısa mesaj yoluyla kimlik avı (smishing) saldırılarıyla perakende ve tüketici hizmetleri sektörlerindeki organizasyonların Microsoft 365 hesaplarını hedef alıyor. Palo Alto Networks Unit 42 araştırmacıları Stav Setty ve Shachar Roitman’ın analizine göre, grup ele geçirdikleri kimlik bilgileriyle bulut ortamlarında yatay hareket kabiliyeti kazanarak, SharePoint, OneDrive gibi iş süreçlerine dair kritik verilere erişiyor ve hediye kartı çıkarma iş akışlarını manipüle ediyor.

Bu saldırılar sırasında, Jingle Thief’in konteyner tabanlı bulut servislerinde rastgele seçilen SSH portları üzerinden gizli erişim sağladığı, MCP istemcisi benzeri araçlarla ortam keşfi yaptığı ve Pydantic AI destekli otomatik analizlerle hedef sistemlerin zafiyetlerini tespit ettiği gözlemlenmiştir. Ayrıca, AsyncRAT benzeri uzaktan erişim araçları kullanarak kalıcı erişim sağlamakta ve çok faktörlü kimlik doğrulama (MFA) engellerini aşmak için sahte doğrulayıcı uygulamalar kaydederek Entra ID üzerinde cihazlarını yetkilendirmektedirler.

Uzun Süreli Gizli Varlık ve Erişim Yayılımı

Jingle Thief, ele geçirdiği organizasyonlarda bazen bir yılı aşan sürelerle tespit edilmeden kalabiliyor. Bu süre zarfında, gelen kutusu kuralları oluşturarak oltalama e-postalarını otomatik olarak kendi kontrolündeki adreslere yönlendirmekte ve iz bırakmamak için gönderilen e-postaları Silinmiş Öğeler klasörüne taşıyarak delilleri yok etmektedir. Bu yöntemler, grubun tespit edilmesini zorlaştırmakta ve saldırıların ölçeklenebilirliğini artırmaktadır.

Hediye Kartı Dolandırıcılığında Bulutun Rolü

Hediye kartları, az sayıda kişisel bilgi gerektirmesi ve izlenmesinin güç olması sebebiyle dolandırıcılar için cazip bir hedef oluşturuyor. Jingle Thief, bulut ortamlarındaki hediye kartı çıkarma uygulamalarına erişim sağlayarak yüksek değerli kartları minimum kayıt ve adli iz bırakma stratejisiyle üretmekte, ardından bu kartları gri piyasalarda nakde çevirmektedir. Bu süreçte, VPN yapılandırmaları, erişim rehberleri ve sanal makineler gibi altyapı bileşenlerini detaylıca inceleyerek operasyonlarını optimize etmektedir.

Hedefe Yönelik ve Kişiselleştirilmiş Saldırılar

Grup, her kurban için özel olarak hazırladığı oltalama sayfalarıyla Microsoft 365 kimlik bilgilerini çalmaya çalışmakta, ardından ele geçirilen hesaplarla hem iç iletişimleri manipüle etmekte hem de erişimlerini genişletmektedir. Bu kapsamda, BT hizmet bildirimleri veya bilet güncellemeleri gibi meşru görünen e-postalar göndererek kurbanların şüphelenmesini engellemektedir. Ayrıca, özel kötü amaçlı yazılım kullanmak yerine kimlik bilgisi kötüye kullanımına odaklanmaları, tespit edilme risklerini azaltmaktadır.

Unit 42’nin Nisan-Mayıs 2025 döneminde gözlemlediği koordineli saldırı dalgaları, Jingle Thief’in küresel çapta faaliyet gösterdiğini ve Fas kökenli finansal amaçlı bir suç grubu olduğunu ortaya koymaktadır. Bu grubun, CL‑CRI‑1032 kod adıyla takip edilen tehdit kümesi içinde orta düzey güvenle Atlas Lion ve Storm-0539 gruplarına atfedildiği bilinmektedir.

Bulut Güvenliği, hediye kartı dolandırıcılığı, Jingle Thief, kimlik avı, MFA Bypass, Microsoft 365, siber saldırı, Unit 42

Daha fazla gönderi

Ekim 24, 2025Ekim 25, 2025

3.000’den Fazla YouTube Videosu Kötü Amaçlı Yazılım Dağıtımı İçin Hayalet Ağ Operasyonunda Kullanıldı

2021'den beri aktif olan YouTube Hayalet Ağı operasyonu, 3.000'den fazla kötü amaçlı yazılım içeren video yayınladı ve yıl başından itibaren bu içeriklerin sayısı üç katına çıktı. Operasyon, ele geçirilmiş hesapları modüler ve rol tabanlı yapıyla kullanarak kullanıcıları çeşitli stealer ve yükleyicilerle enfekte ediyor. Siber güvenlik uzmanları, bu tür karmaşık ve sürekli evrilen tehditlere karşı

Daha Fazla Oku

Ekim 20, 2025Ekim 25, 2025

MSS, NSA’nın Pekin Zaman Sistemlerine Çok Aşamalı Saldırıda 42 Siber Aracı Kullandığını İddia Etti

Çin Devlet Güvenlik Bakanlığı, NSA'nın Pekin Zamanı sistemlerine yönelik çok aşamalı siber saldırılarında 42 farklı aracı kullandığını açıkladı. Saldırılar, kritik altyapıyı hedef alırken, gelişmiş teknik yöntemlerle izler gizlendi ve saldırılar uluslararası VPS ağları üzerinden yönlendirildi. Bakanlık, saldırının engellendiğini ve ABD'nin bölgesel siber operasyonlarını eleştirdi.

Daha Fazla Oku

Ekim 20, 2025Ekim 25, 2025

Haftalık Siber Güvenlik Özeti: F5 İhlali, Linux Rootkitler, Pixnapping ve EtherHiding Teknikleri

Bu hafta F5 BIG-IP sistemlerine yönelik uzun süreli bir ihlal, gelişmiş Linux rootkit saldırıları ve mobil cihazlarda Pixnapping adlı yan kanal saldırısı öne çıktı. Ayrıca, Kuzey Kore destekli tehdit aktörlerinin EtherHiding tekniğiyle blockchain tabanlı kötü amaçlı yazılım dağıtımı yaptığı tespit edildi. Kritik CVE'lerin hızla yamalanması ve bulut ortamlarında otomatik güvenlik araçlarının kullanılması öneriliyor.

Daha Fazla Oku

Ekim 19, 2025Ekim 25, 2025

Silver Fox Grubu, Japonya ve Malezya’da HoldingHands RAT ile Winos 4.0 Saldırılarını Yaymaya Devam Ediyor

Silver Fox adlı Çinli siber suç grubu, Japonya ve Malezya'da HoldingHands RAT ve Winos 4.0 kötü amaçlı yazılımlarını kullanarak çok aşamalı saldırılar düzenliyor. Bu saldırılar, oltalama e-postaları ve SEO zehirlemesiyle başlatılıyor, gelişmiş yetki yükseltme ve kalıcılık teknikleri içeriyor. Operation Silk Lure kampanyası ise Çin fintech sektörünü hedef alıyor.

Daha Fazla Oku

P	S	Ç	P	C	C	P
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31