Агентства по трудоустройству и розничные компании, расположенные в основном в Азиатско-Тихоокеанском регионе (APAC), с начала 2023 года стали мишенью ранее недокументированного субъекта угроз, известного как ResumeLooters, с целью кражи конфиденциальных данных.
Group-IB со штаб-квартирой в Сингапуре заявила, что деятельность хакерской группы направлена на платформы поиска работы и кражу резюме, в результате чего в период с ноября 2023 года по декабрь 2023 года было скомпрометировано 65 веб-сайтов.
По оценкам, украденные файлы содержат 2 188 444 записи пользовательских данных, из которых 510 259 были взяты с веб-сайтов по поиску работы. В наборе данных присутствует более двух миллионов уникальных адресов электронной почты.
"Используя атаки с использованием SQL-инъекций против веб-сайтов, злоумышленник пытается украсть базы данных пользователей, которые могут включать имена, номера телефонов, электронные письма и DOB, а также информацию об опыте соискателей, истории трудоустройства и другие конфиденциальные личные данные", - сказал исследователь безопасности Никита Ростовцев в отчете, опубликованном The Hacker News.
"Затем злоумышленник выставляет украденные данные на продажу в Telegram-каналах".
Group-IB заявила, что также обнаружила доказательства заражения межсайтовым скриптингом (XSS) по меньшей мере на четырех законных веб-сайтах по поиску работы, которые предназначены для загрузки вредоносных скриптов, ответственных за отображение фишинговых страниц, способных собирать учетные данные администратора.
ResumeLooters - вторая группа после GambleForce, которая была уличена в организации SQL-инъекционных атак в регионе APAC с конца декабря 2023 года.
Большинство скомпрометированных веб-сайтов находятся в Индии, Тайване, Таиланде, Вьетнаме, Китае, Австралии и Турции, хотя сообщения о взломах поступали также из Бразилии, США, Турции, России, Мексики и Италии.
Способ работы ResumeLooters предполагает использование инструмента с открытым исходным кодом sqlmap для проведения атак с использованием SQL-инъекций и удаления и выполнения дополнительных полезных нагрузок, таких как инструмент тестирования на проникновение BeEF (сокращение от Browser Exploitation Framework) и вредоносный код JavaScript, предназначенный для сбора конфиденциальных данных и перенаправления пользователей на страницы сбора учетных данных.
Проведенный компанией по кибербезопасности анализ инфраструктуры субъекта угрозы показывает наличие других инструментов, таких как Metasploit, dirsearch и xray, наряду с папкой, в которой хранятся украденные данные.
Кампания, по-видимому, имеет финансовую подоплеку, учитывая тот факт, что в прошлом году ResumeLooters создали два Telegram-канала с названиями 渗透数据心 万心心心心心心心 и 万 万 万 万 万 для продажи информации.
"ResumeLooters - это еще один пример того, какой ущерб можно нанести всего лишь несколькими общедоступными инструментами", - сказал Ростовцев. "Эти атаки подпитываются слабой безопасностью, а также неадекватными методами управления базами данных и веб-сайтами".
"Поразительно видеть, как некоторые из старейших, но удивительно эффективных SQL-атак остаются распространенными в регионе. Однако упорство группы ResumeLooters особенно заметно, когда они экспериментируют с различными методами использования уязвимостей, включая XSS-атаки."
