Çoğunlukla Asya-Pasifik (APAC) bölgesinde bulunan iş bulma kurumları ve perakende şirketleri, daha önce belgelenmemiş bir tehdit aktörü tarafından hedef alındı. Yağmacılara Devam Et 2023’ün başından beri hassas verileri çalmak amacıyla.
Singapur merkezli Group-IB, bilgisayar korsanlığı ekibinin faaliyetlerinin iş arama platformlarına ve özgeçmiş hırsızlığına yönelik olduğunu ve Kasım 2023 ile Aralık 2023 arasında 65 kadar web sitesinin ele geçirildiğini söyledi.
Çalınan dosyaların 2.188.444 kullanıcı verisi kaydı içerdiği tahmin ediliyor ve bunların 510.259’u iş arama sitelerinden alınmış. Veri kümesinde iki milyondan fazla benzersiz e-posta adresi bulunmaktadır.
“Tehdit aktörü, web sitelerine yönelik SQL enjeksiyon saldırıları kullanarak adları, telefon numaralarını, e-postaları ve DoB’leri içerebilecek kullanıcı veritabanlarının yanı sıra iş arayanların deneyimi, istihdam geçmişi ve diğer hassas kişisel veriler hakkındaki bilgileri çalmaya çalışır.” güvenlik araştırmacısı Nikita Rostovcev, The Hacker News ile paylaşılan bir raporda şunları söyledi.
“Çalınan veriler daha sonra tehdit aktörü tarafından Telegram kanallarında satışa sunuluyor.”
Group-IB ayrıca, yönetici kimlik bilgilerini toplayabilecek kimlik avı sayfalarını görüntülemekten sorumlu kötü amaçlı komut dosyaları yüklemek üzere tasarlanmış en az dört meşru iş arama web sitesinde siteler arası komut dosyası çalıştırma (XSS) enfeksiyonlarına ilişkin kanıtları ortaya çıkardığını söyledi.
ResumeLooters, Aralık 2023’ün sonlarından bu yana APAC bölgesinde SQL enjeksiyon saldırıları düzenlediği tespit edilen GambleForce’tan sonra ikinci gruptur.
Ele geçirilen web sitelerinin çoğunluğu Hindistan, Tayvan, Tayland, Vietnam, Çin, Avustralya ve Türkiye’de bulunuyor, ancak Brezilya, ABD, Türkiye, Rusya, Meksika ve İtalya’dan da uzlaşmalar olduğu bildirildi.
ResumeLooters’ın işleyiş tarzı, SQL enjeksiyon saldırıları gerçekleştirmek ve BeEF (Tarayıcı Exploitation Framework’ün kısaltması) sızma testi aracı ve hassas verileri toplamak için tasarlanmış sahte JavaScript kodu gibi ek yükleri bırakmak ve yürütmek için açık kaynaklı sqlmap aracının kullanımını içerir. ve kullanıcıları kimlik bilgisi toplama sayfalarına yönlendirin.
Siber güvenlik şirketinin tehdit aktörünün altyapısına ilişkin analizi, çalınan verileri barındıran bir klasörün yanı sıra Metasploit, dirsearch ve xray gibi diğer araçların da varlığını ortaya koyuyor.
ResumeLooters’ın geçen yıl bilgileri satmak için Penetration Data Center ve GDS Ali adında iki Telegram kanalı kurduğu göz önüne alındığında, kampanyanın finansal amaçlı olduğu görülüyor.
Rostovcev, “ResumeLooters, halka açık bir avuç araçla ne kadar zarar verilebileceğinin bir başka örneğidir” dedi. “Bu saldırılar, zayıf güvenliğin yanı sıra yetersiz veritabanı ve web sitesi yönetimi uygulamalarından da kaynaklanıyor.”
“Bölgede en eski ama son derece etkili SQL saldırılarından bazılarının hala yaygın olduğunu görmek çarpıcı. Bununla birlikte, ResumeLooters grubunun, XSS saldırıları da dahil olmak üzere güvenlik açıklarından yararlanmaya yönelik çeşitli yöntemleri denedikçe kararlılığı dikkat çekiyor.”