-
09/04/2020
-
116
-
1.203 bài viết
Khi tội phạm mạng biến mùa lễ thành "mùa cướp"
Vào mùa lễ hội cuối năm, khi các doanh nghiệp đang tất bật triển khai chương trình khuyến mãi và phát hành thẻ quà tặng cho khách hàng, một nhóm tội phạm mạng lại âm thầm khởi động “chiến dịch săn mồi” của riêng mình. Không cần đến mã độc tinh vi hay những cuộc tấn công ồn ào, chúng chọn một con đường lặng lẽ hơn: chiếm đoạt thẻ quà tặng để biến thành tiền mặt.
Nhóm này được các nhà nghiên cứu của Unit 42 (Palo Alto Networks) đặt tên là Jingle Thief - một cái tên vừa mang sắc thái lễ hội, vừa gợi lên sự tinh quái của “kẻ đánh cắp tiếng chuông Giáng Sinh”. Cái tên ấy cũng phản ánh đúng thói quen hoạt động của nhóm: ra tay vào mùa lễ, thời điểm các hệ thống phát hành quà tặng hoạt động hết công suất và các lỗ hổng trong quy trình dễ bị bỏ qua nhất.
Trong hệ thống theo dõi mối đe dọa của Unit 42, nhóm này được định danh bằng mã CL-CRI-1032, trong đó “CL” là cluster (nhóm hoạt động), và “CRI” là criminal motivation (động cơ tội phạm).
Lý do rất đơn giản:
Ảnh minh họa: Chuỗi tấn công lừa đảo Jingle Thief trên toàn Microsoft 365
Nhóm này không dựa vào mã độc mà tấn công dựa trên danh tính thật bị đánh cắp. Toàn bộ chiến dịch diễn ra qua một quy trình có tính toán kỹ lưỡng:
Mọi dữ liệu liên quan đến quy trình phát hành thẻ quà tặng: bảng hướng dẫn, bảng tính, cấu hình VPN, tài liệu về máy ảo hoặc môi trường Citrix đều được thu thập kỹ lưỡng.
Song song đó, chúng tạo quy tắc hộp thư nhằm chuyển tiếp email ra ngoài và xóa dấu vết bằng cách tự động di chuyển thư đã gửi vào mục Deleted Items.
Một số chiến dịch còn ghi nhận Jingle Thief đăng ký ứng dụng xác thực giả để vượt qua xác thực đa yếu tố (MFA) hoặc tự thêm thiết bị vào Entra ID, đảm bảo vẫn duy trì quyền truy cập ngay cả khi mật khẩu bị đổi hay token bị thu hồi.
Theo Unit 42, chỉ trong đợt tấn công tháng 4 - 5/2025, nhóm này đã duy trì quyền truy cập tới 10 tháng trong một tổ chức, kiểm soát 60 tài khoản người dùng - con số thể hiện quy mô tinh vi và độ hiệu quả đáng sợ.
Điều này khiến các hệ thống phòng thủ dựa vào phần mềm chống mã độc gần như không thể phát hiện bởi mọi hành vi đều có vẻ trông “hợp lệ”. Như Unit 42 mô tả, gian lận thẻ quà tặng là sự kết hợp của “tàng hình, tốc độ và khả năng mở rộng”. Khi đã len lỏi vào quy trình phát hành trong môi trường cloud, Jingle Thief có thể hoạt động lâu dài và tái sử dụng quyền truy cập cho các đợt phát hành trái phép tiếp theo.
Với góc nhìn của chuyên gia WhiteHat, những cuộc tấn công kiểu này không nhắm vào người dùng cuối mà đánh thẳng vào quy trình doanh nghiệp, nơi chứa quyền phát hành hoặc quản lý tài chính. Tuy nhiên, người dùng cá nhân cũng nên cảnh giác với email và tin nhắn giả danh, đặc biệt trong mùa lễ hội khi các chương trình khuyến mãi đang nở rộ.
Không cần vũ khí kỹ thuật cao, chỉ cần một danh tính hợp lệ và sự kiên nhẫn, kẻ tấn công vẫn có thể gây thiệt hại hàng triệu đô la. Mỗi “tiếng chuông” trong mùa lễ hội giờ đây không chỉ mang ý nghĩa của niềm vui mua sắm, mà còn là lời cảnh báo rằng phía sau các chương trình quà tặng tưởng chừng vô hại, vẫn có thể là một cái bẫy tinh vi của “kẻ trộm Giáng Sinh” - Jingle Thief.
Nhóm này được các nhà nghiên cứu của Unit 42 (Palo Alto Networks) đặt tên là Jingle Thief - một cái tên vừa mang sắc thái lễ hội, vừa gợi lên sự tinh quái của “kẻ đánh cắp tiếng chuông Giáng Sinh”. Cái tên ấy cũng phản ánh đúng thói quen hoạt động của nhóm: ra tay vào mùa lễ, thời điểm các hệ thống phát hành quà tặng hoạt động hết công suất và các lỗ hổng trong quy trình dễ bị bỏ qua nhất.
1. Jingle Thief là ai?
Theo Microsoft và các hãng an ninh mạng quốc tế, Jingle Thief có liên hệ với những nhóm tội phạm được biết đến dưới tên Atlas Lion và Storm-0539 - một mạng lưới tấn công vì mục đích tài chính có nguồn gốc từ Morocco, đã hoạt động ít nhất từ cuối năm 2021.Trong hệ thống theo dõi mối đe dọa của Unit 42, nhóm này được định danh bằng mã CL-CRI-1032, trong đó “CL” là cluster (nhóm hoạt động), và “CRI” là criminal motivation (động cơ tội phạm).
2. Mục tiêu và âm mưu phía sau “mùa lễ hội”
Không nhắm vào dữ liệu người dùng hay bí mật doanh nghiệp, Jingle Thief nhắm mục tiêu vào các môi trường đám mây của các tổ chức trong lĩnh vực bán lẻ và dịch vụ tiêu dùng nhằm thực hiện hành vi gian lận thẻ quà tặng (gift card).Lý do rất đơn giản:
- Thẻ quà tặng có thể quy đổi nhanh ra tiền
- Không yêu cầu thông tin cá nhân khi sử dụng
- Đặc biệt khó truy vết nguồn gốc
3. Cách Jingle Thief tấn công
Ảnh minh họa: Chuỗi tấn công lừa đảo Jingle Thief trên toàn Microsoft 365
Bước 1: Đánh cắp thông tin đăng nhập
Jingle Thief khởi đầu bằng phishing (email giả mạo) và smishing (tin nhắn SMS lừa đảo). Mục tiêu là dụ người dùng nhập thông tin đăng nhập Microsoft 365 của nạn nhân vào trang giả mạo.Bước 2: Xâm nhập và trinh sát
Ngay khi có được thông tin đăng nhập, nhóm đăng nhập vào hệ thống thật của nạn nhân. Từ đây, chúng bắt đầu lần trinh sát thứ hai, đào sâu vào SharePoint, OneDrive và các thư mục nội bộ để tìm hiểu cách doanh nghiệp vận hành.Mọi dữ liệu liên quan đến quy trình phát hành thẻ quà tặng: bảng hướng dẫn, bảng tính, cấu hình VPN, tài liệu về máy ảo hoặc môi trường Citrix đều được thu thập kỹ lưỡng.
Bước 3: Mở rộng quyền và chiếm hệ thống
Khi đã có đủ thông tin, nhóm bắt đầu mở rộng quyền kiểm soát. Chúng giả mạo email nội bộ, thường dưới dạng thông báo IT hoặc cập nhật ticket, sử dụng chính ngôn ngữ và mẫu thư của doanh nghiệp để đánh lừa đồng nghiệp của nạn nhân.Song song đó, chúng tạo quy tắc hộp thư nhằm chuyển tiếp email ra ngoài và xóa dấu vết bằng cách tự động di chuyển thư đã gửi vào mục Deleted Items.
Một số chiến dịch còn ghi nhận Jingle Thief đăng ký ứng dụng xác thực giả để vượt qua xác thực đa yếu tố (MFA) hoặc tự thêm thiết bị vào Entra ID, đảm bảo vẫn duy trì quyền truy cập ngay cả khi mật khẩu bị đổi hay token bị thu hồi.
Bước 4: Kiểm soát lâu dài và phát hành thẻ trái phép
Điều đáng sợ nhất là Jingle Thief không rút lui sớm. Có trường hợp, nhóm ở lại trong hệ thống hơn một năm, âm thầm quan sát và chờ cơ hội. Chúng lập bản đồ toàn bộ hạ tầng đám mây, di chuyển ngang giữa các dịch vụ để tránh bị phát hiện. Khi đã sẵn sàng, nhóm phát hành hàng loạt thẻ quà tặng giá trị cao qua các ứng dụng nội bộ và bán ra ngoài.Theo Unit 42, chỉ trong đợt tấn công tháng 4 - 5/2025, nhóm này đã duy trì quyền truy cập tới 10 tháng trong một tổ chức, kiểm soát 60 tài khoản người dùng - con số thể hiện quy mô tinh vi và độ hiệu quả đáng sợ.
4. Im lặng mà hiệu quả
Khác với nhiều chiến dịch tấn công truyền thống, Jingle Thief không cài mã độc, không khai thác lỗ hổng phần mềm. Chúng ẩn mình trong hệ thống bằng chính danh tính thật bị đánh cắp, lợi dụng các công cụ và cơ chế hợp pháp của nền tảng cloud để hành động.Điều này khiến các hệ thống phòng thủ dựa vào phần mềm chống mã độc gần như không thể phát hiện bởi mọi hành vi đều có vẻ trông “hợp lệ”. Như Unit 42 mô tả, gian lận thẻ quà tặng là sự kết hợp của “tàng hình, tốc độ và khả năng mở rộng”. Khi đã len lỏi vào quy trình phát hành trong môi trường cloud, Jingle Thief có thể hoạt động lâu dài và tái sử dụng quyền truy cập cho các đợt phát hành trái phép tiếp theo.
Với góc nhìn của chuyên gia WhiteHat, những cuộc tấn công kiểu này không nhắm vào người dùng cuối mà đánh thẳng vào quy trình doanh nghiệp, nơi chứa quyền phát hành hoặc quản lý tài chính. Tuy nhiên, người dùng cá nhân cũng nên cảnh giác với email và tin nhắn giả danh, đặc biệt trong mùa lễ hội khi các chương trình khuyến mãi đang nở rộ.
Không cần vũ khí kỹ thuật cao, chỉ cần một danh tính hợp lệ và sự kiên nhẫn, kẻ tấn công vẫn có thể gây thiệt hại hàng triệu đô la. Mỗi “tiếng chuông” trong mùa lễ hội giờ đây không chỉ mang ý nghĩa của niềm vui mua sắm, mà còn là lời cảnh báo rằng phía sau các chương trình quà tặng tưởng chừng vô hại, vẫn có thể là một cái bẫy tinh vi của “kẻ trộm Giáng Sinh” - Jingle Thief.
Theo The Hacker News