Group-IB, öncelikle Asya-Pasifik bölgesindeki şirketlerin iş arama ve perakende web sitelerini hedef alan büyük ölçekli bir kötü amaçlı kampanya tespit etti. ResumeLooters adlı grup, Kasım ve Aralık 2023 arasında SQL enjeksiyonu ve XSS saldırıları yoluyla en az 65 web sitesine başarıyla virüs bulaştırdı. Çetenin kurbanlarının çoğunun Hindistan, Tayvan, Tayland, Vietnam, Çin ve Avustralya’da olduğu belirlendi.
ResumeLooters’ın 2.079.027 benzersiz e-posta ve isimler, telefon numaraları, doğum tarihleri ve iş arayanların deneyimleri ve istihdam geçmişleri hakkındaki bilgiler gibi diğer kayıtları içeren çeşitli veri tabanlarını çaldığı doğrulandı.
Çalınan veriler daha sonra ResumeLooters tarafından Telegram kanallarında satışa sunuldu. Araştırmacılar, daha fazla zararı azaltmak için gerekli önlemleri alabilmeleri amacıyla tespit edilen mağdurlara bildirimler yayınladı.
ResumeLooters, 2023’ün başından bu yana sqlmap, Acunetix, Beef Framework, X-Ray, Metasploit, ARL ve Dirsearch gibi çeşitli penetrasyon testi çerçeveleri ve açık kaynaklı araçlar kullanıyor. Sonuç olarak çete, 65 iş arama, perakende ve diğer web sitelerine kötü amaçlı SQL sorguları enjekte etti ve toplam 2.188.444 satır aldı; bunların 510.259’u istihdam web sitelerindeki kullanıcı verileriydi.
ResumeLooters’ın bilinen kurbanlarının %70’inden fazlası Asya-Pasifik bölgesindedir. Çetenin öncelikli olarak Hindistan (12 kurban), Tayvan (10), Tayland (9), Vietnam (7), Çin (3), Avustralya (2), Filipinler (1), Güney Kore (1) ve Japonya (1). Ancak, Brezilya, ABD, Türkiye, Rusya, Meksika ve İtalya dahil olmak üzere APAC dışında da güvenliği ihlal edilmiş web siteleri tespit edildi.
Araştırmacılar, tehdit aktörüyle ilişkili iki Telegram hesabı oluşturdu. Her iki hesap da çalınan verileri, hackleme ve sızma testlerine adanmış Çince konuşan Telegram gruplarında satışa sunmak için kullanıldı.
Group-IB Gelişmiş Kalıcı Tehdit Araştırma Ekibi Kıdemli Analisti Nikita Rostovcev, “İki aydan kısa bir süre içinde, Asya-Pasifik bölgesindeki şirketlere SQL enjeksiyon saldırıları düzenleyen başka bir tehdit aktörünü daha tespit ettik” diyor.
“En eski ama son derece etkili SQL saldırılarından bazılarının bölgede hala yaygın olduğunu görmek çarpıcı. Bununla birlikte, ResumeLooters grubunun kararlılığı, XSS saldırıları da dahil olmak üzere güvenlik açıklarından yararlanmaya yönelik çeşitli yöntemleri denedikleri için öne çıkıyor. Ayrıca çetenin saldırıları geniş bir coğrafyayı kapsıyor” diye devam etti Rostovcev.
Tehdit aktörlerinin Asya-Pasifik bölgesine ilgisinde gözle görülür bir artış var.
SQL enjeksiyon saldırılarına ek olarak, en az dört meşru iş arama web sitesinde XSS komut dosyalarını başarıyla yürüttüler. Saldırganlar bu web sitelerinden birine sahte bir işveren profili oluşturarak kötü amaçlı bir komut dosyası yerleştirdiler. Sonuç olarak saldırganlar, yönetim erişimine sahip olanlar da dahil olmak üzere kurbanların ziyaret ettiği sayfaların HTML kodunu çalmayı başardı.
Kötü amaçlı XSS komut dosyalarının aynı zamanda meşru kaynaklarda kimlik avı formlarını görüntülemesi de amaçlandı. Saldırganların asıl amacının yönetici kimlik bilgilerini çalmak olduğuna inanılıyor. Ancak idari kimlik bilgilerinin başarılı bir şekilde çalındığına dair hiçbir kanıt bulunamadı.
Enjeksiyon saldırılarına karşı korunmak için şirketlerin, kullanıcı girişini doğrudan SQL sorgularına birleştirmek yerine parametreli veya hazırlanmış ifadeler kullanması önerilir. Hem istemci hem de sunucu tarafında kapsamlı giriş doğrulama ve temizleme işleminin uygulanması önemlidir. Düzenli güvenlik değerlendirmeleri ve kod incelemeleri gerçekleştirmek, enjeksiyon güvenlik açıklarının belirlenmesine ve azaltılmasına yardımcı olur.