Yeni Özgeçmiş Yağmacıları Çetesi İş Arayanları Hedef Aldı, Milyonlarca Özgeçmişi Çaldı


Kasım 2023’te ortaya çıktığından beri ResumeLooters, 65’ten fazla iş arama web sitesini tehlikeye atmak için SQL enjeksiyonu ve XSS güvenlik açıklarından yararlandı.

Kasım 2023’te Group-IB’nin Tehdit İstihbaratı birimi, APAC (Asya Pasifik bölgesi) istihdam bürolarını ve perakende şirketlerini hedef alan kötü amaçlı bir kampanya keşfetti. GroupIB, kampanyanın arkasındaki bilgisayar korsanlarını ResumeLooters olarak adlandırdı.

Toplamda 65 web sitesi hedeflendi. SQL enjeksiyonu adlar, telefon numaraları, e-postalar ve istihdam geçmişi gibi hassas bilgileri saklayan hassas kullanıcı veritabanlarını çalmak için saldırılar ve siteler arası komut dosyası (XSS) komut dosyaları enjekte etme. Çalınan veriler daha sonra Telegram kanallarında satıldı.

Yeni Özgeçmiş Yağmacıları Çetesi İş Arayanları Hedef Aldı, Milyonlarca Özgeçmişi Çaldı

Group-IB araştırmacıları Siteler Arası Komut Dosyası Çalıştırmayı keşfetti (XSS) kötü amaçlı komut dosyaları yüklemeyi ve kimlik avı formlarını görüntülemeyi amaçlayan gerçek iş arama web sitelerine bulaşma. Saldırganların sunucularında tespit edilen dosya oluşturma tarihlerine göre ilk saldırılar 2023’ün başlarına kadar uzanıyor.

Bilgisayar korsanları Hindistan, Tayvan, Tayland ve Vietnam’daki kullanıcıları hedef alarak iki milyondan fazla benzersiz e-posta adresini çaldı. SQLi saldırıları arka uç kullanıcı veritabanlarını hedef alırken, sitelerde ve ziyaretçilerin cihazlarında kimlik avı içeriğini görüntülemek için XSS teknikleri kullanıldı.

Group-IB, ResumeLooters’ı bugüne kadar 20’den fazla saldırı gerçekleştiren GambleForce’un ardından Asya-Pasifik bölgesindeki şirketlere yönelik SQL enjeksiyon saldırıları gerçekleştiren ikinci grup olarak belirledi.

İkinci grup genellikle Hindistan, Tayvan, Tayland ve Vietnam’ı hedef alıyor çünkü bilinen kurbanlarının %70’inden fazlası bu bölgede bulunuyor. Araştırmacılar ayrıca Brezilya, ABD, Türkiye, Rusya, Meksika, İtalya ve diğer APAC dışı ülkelerde de ele geçirilen varlıkları tespit etti.

Son zamanlarda Grup-IB’nin maskesiz EagleStrikeBasit güvenlik açıklarından yararlanan GambleForce hacker grubunun bir alt grubu. Grup, Eylül ve Aralık 2023 arasında Avustralya, Endonezya, Filipinler, Güney Kore, Çin, Hindistan ve Tayland’daki web sitelerini tehlikeye atarak 8 ülkedeki 24 kuruluşu hedef aldı.

Şirketin açıklamasına göre Blog yazısıResumeLooters, sqlmap, Acunetix, Beef Framework, X-Ray, Metasploit, ARL ve Dirsearch dahil olmak üzere çeşitli penetrasyon testi araçlarını kullanır. Ana vektörleri sqlmap aracılığıyla SQL enjeksiyonuydu.

Çalınan HTML dosyalarının analizi, kötü amaçlı komut dosyasının en az dört web sitesinde yürütüldüğünü ve bazılarının esas olarak yönetim erişimine sahip cihazlarda HTML koduna gömülü XSS komut dosyalarına sahip olduğunu gösteriyor. Saldırganların hesapları ve veri satışına yönelik reklamları, Çince konuşan üyelerden oluşan hackleme temalı Telegram gruplarında keşfedildi.

Rapor, web sitelerine yönelik SQLi ve XSS saldırılarının güvenlik açığını vurgulayarak işletmelerin web uygulaması güvenlik duvarları ve giriş doğrulama gibi en iyi uygulamaları uygulamalarının gerekliliğinin altını çiziyor. Grup-IB araştırmacıları, “zayıf güvenlik ve yetersiz veritabanı ve web sitesi yönetiminden kaynaklanan” bu saldırıların yol açabileceği potansiyel hasarı da vurguluyor.

Yeni Özgeçmiş Yağmacıları Çetesi İş Arayanları Hedef Aldı, Milyonlarca Özgeçmişi Çaldı
Ekran görüntüsü, ResumeLooters’ın XSS betiğini içeren orijinal iş sitelerinden birinin kaynak kodunu gösteriyor

Çalışanların veya iş arayanların verilerinin açığa çıkmasıyla ilgili birçok şaşırtıcı ihlal yaşandı. Temmuz 2022’de, Kuzey Kore destekli Lazarus hacker grubu serbest BT çalışanı gibi davranarak sahte bir iş teklifi kullandı. sızmak Sky Mavis’in ağı.

Daha yakın bir zamanda, Ocak 2023’te Hackread rapor edildi bağımsız güvenlik araştırmacısı Anurag Sen, Kaliforniya’daki bir Kurumsal Kaynak Planlama (ERP) Yazılım sağlayıcısına ait yanlış yapılandırılmış bir sunucu keşfetti.

Elasticsearch sunucusu, yarım milyondan fazla Hintli iş arayan kişinin kişisel verilerinin yanı sıra şirketin çalışanlarını ve Apple ve Samsung gibi şirketlerin müşteri kayıtlarını açığa çıkardı. Sunucu, Aralık 2022’nin sonlarından bu yana herhangi bir güvenlik kimlik doğrulaması veya şifre olmadan herkesin erişimine açıktı.

  1. Genç iş umuduyla Apple’ı iki kez hackledi
  2. Bilgisayar korsanları işsiz ABD gazilerini dolandırmak için sahte iş web sitesi kullandı
  3. Sahte LinkedIn iş teklifleri More_eggs arka kapısını yayan dolandırıcılık teklifleri
  4. Axie Infinity’den 625 Milyon Dolar Çalmak İçin Sahte LinkedIn İş Teklifi Kullanıldı
  5. Interpol, Sahte İş İlanlarıyla Mağdurları Cezbeden İnsan Kaçakçılarını Yakaladı





Source link