Çoğunlukla Asya-Pasifik (APAC) bölgesinde bulunan iş bulma kurumları ve perakende şirketleri, daha önce belgelenmemiş bir tehdit aktörü tarafından hedef alındı. Yağmacılara Devam Et 2023’ün başından beri hassas verileri çalmak amacıyla.
Singapur merkezli Group-IB, bilgisayar korsanlığı ekibinin faaliyetlerinin iş arama platformlarına ve özgeçmiş hırsızlığına yönelik olduğunu ve Kasım 2023 ile Aralık 2023 arasında 65 kadar web sitesinin ele geçirildiğini söyledi.
Çalınan dosyaların 2.188.444 kullanıcı verisi kaydı içerdiği tahmin ediliyor ve bunların 510.259’u iş arama sitelerinden alınmış. Veri kümesinde iki milyondan fazla benzersiz e-posta adresi bulunmaktadır.
“Tehdit aktörü, web sitelerine yönelik SQL enjeksiyon saldırıları kullanarak adları, telefon numaralarını, e-postaları ve DoB’leri içerebilecek kullanıcı veritabanlarının yanı sıra iş arayanların deneyimi, istihdam geçmişi ve diğer hassas kişisel veriler hakkındaki bilgileri çalmaya çalışır.” güvenlik araştırmacısı Nikita Rostovcev söz konusu The Hacker News ile paylaşılan bir raporda.
“Çalınan veriler daha sonra tehdit aktörü tarafından Telegram kanallarında satışa sunuluyor.”
Group-IB ayrıca, yönetici kimlik bilgilerini toplayabilecek kimlik avı sayfalarını görüntülemekten sorumlu kötü amaçlı komut dosyaları yüklemek üzere tasarlanmış en az dört meşru iş arama web sitesinde siteler arası komut dosyası çalıştırma (XSS) enfeksiyonlarına ilişkin kanıtları ortaya çıkardığını söyledi.
ResumeLooters, Aralık 2023 sonlarında kamuya açıklanmasından bu yana APAC bölgesinde SQL enjeksiyon saldırıları düzenlediği tespit edilen GambleForce’tan sonra ikinci hack grubudur.
Ele geçirilen web sitelerinin çoğunluğu Hindistan, Tayvan, Tayland, Vietnam, Çin, Avustralya ve Türkiye’de bulunuyor, ancak Brezilya, ABD, Türkiye, Rusya, Meksika ve İtalya’dan da uzlaşmalar olduğu bildirildi.
ResumeLooters’ın işleyiş şekli açık kaynak kodlu yazılımın kullanımını içerir SQL haritası SQL enjeksiyon saldırıları gerçekleştirmek ve aşağıdaki gibi ek yükleri bırakıp yürütmek için kullanılan araç Biftek (Tarayıcı Sömürü Çerçevesi’nin kısaltması) penetrasyon test aracı ve hassas verileri toplamak ve kullanıcıları kimlik bilgisi toplama sayfalarına yönlendirmek için tasarlanmış hileli JavaScript kodu.
Siber güvenlik şirketinin tehdit aktörünün altyapısına ilişkin analizi, Metasploit gibi diğer araçların varlığını ortaya koyuyor. dizin aramaVe röntgençalınan verileri barındıran bir klasörün yanında.
ResumeLooters’ın geçen yıl bilgileri satmak için 渗透数据中心 ve 万国数据阿力 adlı iki Telegram kanalı kurduğu göz önüne alındığında, kampanyanın finansal amaçlı olduğu görülüyor.
Rostovcev, “ResumeLooters, halka açık bir avuç araçla ne kadar zarar verilebileceğinin bir başka örneğidir” dedi. “Bu saldırılar, zayıf güvenliğin yanı sıra yetersiz veritabanı ve web sitesi yönetimi uygulamalarından da kaynaklanıyor.”
“Bölgede en eski ama son derece etkili SQL saldırılarından bazılarının hala yaygın olduğunu görmek çarpıcı. Bununla birlikte, ResumeLooters grubunun, XSS saldırıları da dahil olmak üzere güvenlik açıklarından yararlanmaya yönelik çeşitli yöntemleri denedikçe kararlılığı dikkat çekiyor.”
