Saldırganlar, meşru sızma testi araçlarıyla en az 65 iş alımı ve perakende web sitesini hedef almak için SQL enjeksiyonu ve siteler arası komut dosyası çalıştırma (XSS) kullandı; 2 milyondan fazla e-posta içeren veritabanlarını ve diğer kişisel kayıtları çaldı. iş arayanlar sadece bir ay içinde.
Kampanyayı keşfeden Group-IB’nin Tehdit İstihbarat Birimi’ndeki araştırmacılar tarafından “Özgeçmiş Yağmacıları” olarak adlandırılan grup, esas olarak Hindistan, Tayvan, Tayland, Vietnam, Çin ve Avustralya’daki kurbanları hedef alarak insanların özgeçmişlerinden kişisel bilgiler içeren e-postaları ve diğer verileri çaldı. araştırmacılar ortaya çıkardı Blog yazısı Veriler arasında isimlerin, telefon numaralarının ve doğum tarihlerinin yanı sıra iş arayanların deneyimleri ve istihdam geçmişine ilişkin bilgiler yer alıyordu.
Araştırmacılar, 2023’ün başından bu yana faaliyet gösterdiğine inanılan grubun, geçen Kasım ile Aralık ayları arasında meydana gelen saldırılarda 2.079.027 benzersiz e-posta ve diğer kayıtları içeren çeşitli veri tabanlarını çaldığını buldu. Kurbanların %70’inden fazlası Asya-Pasifik (APAC) bölgesinde olsa da Group-IB, güvenliği ihlal edilen şirketleri de tespit etti Brezilya, İtalya, Meksika, Rusya, Türkiye ve ABD dahil olmak üzere diğer bölgelerde.
Saldırganlar özellikle 26 perakende şirketi ve 19 iş arama sitesinin yanı sıra profesyonel hizmetler, dağıtım, emlak, yatırım ve diğer sektörlerdeki bir avuç kuruluşu hedef aldı. Grup daha sonra çalınan verileri Çince konuşulan Telegram kanallarında satışa sundu.
Kalem Testi Araçlarını Kullanarak Yapılan Siber Saldırılar
ResumeLooters’ın saldırı vektörü, adlı başka bir grubunkine benzer GambleForceGrup-IB’nin Eylül ayında APAC bölgesini hedef aldığını keşfettik. Bu grup gibi saldırganlar da web sitelerini hedeflemek ve kötü amaçlı komut dosyalarını enjekte etmek için halka açık çeşitli sızma testi araçlarını kullandı. ResumeLooters örneğinde yaygın olarak kullanılan araçlar arasında Acunetix, Beef Framework, X-Ray, Metasploit, ARL (Asset Reconnaissance Lighthouse) ve Dirsearch yer alıyordu.
Group-IB’nin gelişmiş kalıcı tehdit (APT) araştırma ekibinden kıdemli tehdit analisti Nikita Rostovcev, gönderide “ResumeLooters, halka açık bir avuç araçla ne kadar zarar verilebileceğinin bir başka örneğidir” diye yazdı. “Hem GambleForce hem de ResumeLooters çok basit saldırı yöntemleri kullanıyor.”
Ekibin araştırması, 139.180.137 adresinde kötü amaçlı bir sunucunun belirlenmesiyle başladı.[.]107’de çeşitli penetrasyon testi araçlarının kayıtlarını buldular. Saldırganların istihdam web sitelerini ve perakende şirketlerini hedeflediklerini ortaya çıkaran sqlmap.
Araştırmacılar, ResumeLooters tarafından kullanılan en yaygın başlangıç vektörünün sqlmap aracılığıyla SQL enjeksiyonu olduğunu, ancak bazı durumlarda saldırganların saldırıları gerçekleştirmek için meşru iş arama sitelerine XSS komut dosyalarını enjekte ettiğini buldu. Saldırı, enjeksiyonun, ziyaret eden iş arayanların verilerini çalmak için bir kimlik avı formu görüntüleyen kötü amaçlı bir uzaktan komut dosyasının yürütülmesini tetiklemesiyle gerçekleşir.
ResumeLooters, XSS saldırılarından birinde meşru bir işe alım web sitesinde sahte bir işveren profili bile oluşturup, profildeki alanlardan birine kötü amaçlı XSS komut dosyası enjekte etti. Profil ayrıca admin.cloudnetsafe’e bir bağlantı içeriyordu[.]iletişim, Araştırmacılar, grupla ilişkili başka bir alan olabileceğine inanıyorlar, ancak araştırmacıların analiz ettiği sırada erişilemez durumdaydı.
Kanıtlar ayrıca, ResumeLooters’ın kurbanların sunucusu üzerinde tam kontrole sahip olurken ek yükleri indirip yürütmek ve daha fazla veri bulmaya çalışmak için hedef sistemlerde kabuk erişimi elde etmeye çalıştığını da ileri sürdü. Ancak Rostovcev, bu girişimlerin başarılı olup olmadığının belirsiz olduğunu söyledi.
Group-IB, saldırılarda hedef alınan şirketlerin mağdurlarını “daha fazla zararı azaltmak için gerekli tüm adımları atabilmeleri için” bilgilendirdiğini ekledi.
Siber Hedeflerde İş Arayanlar
Tehdit aktörleri genellikle iş arayanları hedef alıyor çeşitli istihdam dolandırıcılıkları yoluyla, onlarla iletişim yoluyla toplanabilecek bilgi yelpazesinin yanı sıra sosyal mühendislik kullanarak onları etkileme fırsatı nedeniyle.
Gerçekten de, özellikle Kuzey Kore’den gelen tehdit grupları iş arayanları hedefleme konusunda ustadırlar kişisel bilgilerini ve kimlik bilgilerini çalmayı amaçlayan sahte iş tekliflerini dünya çapında kullanıyor. Saldırganlar ayrıca, özellikle iş arayanları hedef almak için Facebook gibi sosyal medya platformlarını da kullanıyor. uzaktan çalışma için.
Rostovcev, ResumeLooters ve GambleForce tarafından yapılan saldırılar gibi saldırıların “kolayca önlenebilir” olduğunu, ancak şirket web sitelerinin “zayıf güvenliğin yanı sıra yetersiz veritabanı ve web sitesi yönetimi uygulamaları” nedeniyle tehlikeye atılabileceğini belirtti.
Kampanyanın kuruluşlara siber güvenliğe öncelik vermeleri ve gelişen tehditlere karşı tetikte olmaları gerektiğini hatırlattığını söyledi. Bunu yapmak için Grup-IB, kuruluşlara hem SQL enjeksiyonu ve XSS saldırıları.
İlki için kuruluşlar, kullanıcı girişini doğrudan SQL sorgularına bağlarken, kendi özel programlama dili veya çerçevesi tarafından sağlanan parametreli ifadeleri veya hazırlanmış ifadeleri kullanmalıdır. Rostovcev, “Bu, kullanıcı girdisini SQL kodundan ayırmaya yardımcı oluyor” diye yazdı.
Bir Web uygulaması güvenlik duvarı uygulamak, SQL enjeksiyon girişimlerini tespit edip engelleyebilir ve çeşitli Web uygulaması saldırılarına karşı ek bir savunma katmanı sağlayabilir. Hem SQL enjeksiyonunu hem de SQL enjeksiyonunu önlemeye yardımcı olabilecek başka bir taktik XSS saldırıları Grup-IB’ye göre girdilerin beklenen formatlara ve uzunluk kısıtlamalarına uymasını sağlayarak hem istemci hem de sunucu tarafındaki kullanıcı girdilerini doğrulamak ve sterilize etmektir.
Araştırmacılar, XSS saldırılarını önlemek için kuruluşların, kullanıcı tarafından oluşturulan içeriği oluşturmadan önce bunların gerçek metin olarak ele alınmasını ve kod olarak yorumlanmamasını sağlamak için özel karakterlerden kaçabileceğini öne sürdü.