Gizli kullanıcı bilgilerini çalmak ve pazarlamak amacıyla, esas olarak APAC bölgesindeki iş bulma kurumları ve perakende firmalarına odaklanan büyük ölçekli bir siber saldırı başlatıldı.
ResumeLooters adlı bir grup hacker, iş arayanlara yönelik bir kampanya başlattı. Bilgisayar korsanlarının kimlikleri hâlâ bilinmiyor ve asıl amaçları, iş arama sürecindeki güvenlik açıklarını hedef alıp bunlardan yararlanmaktı.
Bir siber güvenlik şirketi olan Group-IB, kısa süre önce ResumeLooters adlı bir grup bilgisayar korsanının Kasım ve Aralık 2023’te 65 web sitesinin güvenliğini ihlal ettiğini keşfetti.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
GambleForce gibi ResumeLooters da öncelikli olarak Asya-Pasifik’i hedefliyor; bilinen kurbanların %70’inden fazlası bölgede bulunuyor (aşağıda Şekil 2’de görüldüğü gibi Hindistan, Tayvan, Tayland, Vietnam ve diğer ülkeler).
ResumeLooters SQL enjeksiyonu ve Saldırı Vektörleri olarak XSS
Tehdit aktörü, adları, telefon numaralarını, e-postaları, DOB’leri, iş arayanların deneyimine ilişkin bilgileri, istihdam geçmişini ve diğer hassas kişisel verileri içerebilecek kullanıcı veritabanlarını çalmaya çalışır.
Bilgisayar korsanları, XSS Saldırılarını kullanarak, ilgili kötü amaçlı altyapıdan ek kötü amaçlı komut dosyaları yüklemeyi ve meşru kaynaklarda kimlik avı formları görüntülemeyi amaçladı.
Grup, SQL enjeksiyonlarını kullanarak 65 web sitesinden veri çaldı. Çalınan dosyalar 2.188.444 satır içeriyordu ve bunların 510.259’u iş arama web sitelerinden çalınan kullanıcı verileriydi.
Saldırıları başlatmak için sqlmap, Acunetix, Beef Framework, X-Ray, Metasploit, ARL (Asset Reconnaissance Lighthouse) ve Dirsearch gibi çeşitli sızma testi araçlarını kullandılar.
ResumeLooters, hedeflenen web sitelerinin tüm olası web formlarına XSS komut dosyaları eklemeye çalıştı.
“Araştırmamız boyunca ilk versiyonu destekleyen birçok kanıt bulduk. Saldırganların sunucusu, çalınan diğer verilerin yanı sıra AdminJobApprovalGrid.aspx_2023_11_23_02_02_39.html adlı bir dosyayı da sakladı.”
Saldırganlar, Group-IB tarafından belirlenen meşru web sitelerinden birinde (https://jobs) sahte bir işveren profili oluşturdu.[redacted]ortak/şirket-detay/248). Bu profildeki alanlardan birine ResumeLooters, 8r’ye referans veren XSS betiğini enjekte edebilir[.]ae, aynı zamanda sitenin ana sayfasında da görüntülenir.
Group-IB’ye göre kötü amaçlı sunucu 139.180.137’dir.[.]107. Bu sunucuda sqlmap dahil çeşitli sızma testi araçlarının günlüklerini bulduk.
ResumeLooters’ın ortaya çıkışı, halka açık seçilmiş birkaç aracın zararlı potansiyelinin altını çiziyor. Etkisi, hassas bilgileri korumaya çalışan kuruluşlar için uyarıcı bir hikayedir.
Bu tür araçlar veri gizliliği, bütünlüğü ve kullanılabilirliği açısından ciddi bir tehdit oluşturur ve bu tür saldırılara karşı korunmak için çok katmanlı bir yaklaşım gerektirir.
En son siber güvenlik haberleri, teknik incelemeler, infografikler ve daha fazlası için bizi LinkedIn’de takip edin. Siber güvenlikteki en son trendlerden haberdar olun ve güncel kalın.