'Resumelooters' adlı bir tehdit grubu, SQL enjeksiyonu ve siteler arası senaryo (XSS) saldırılarını kullanarak 65 meşru iş listesi ve perakende sitesinden ödün verdikten sonra iki milyondan fazla iş arayanın kişisel verilerini çaldı.
Saldırganlar esas olarak APAC bölgesine odaklanır, Avustralya, Tayvan, Çin, Tayland, Hindistan ve Vietnam'daki siteleri hedefleyen iş arayanın isimlerini, e -posta adreslerini, telefon numaralarını, istihdam geçmişini, eğitimini ve diğer ilgili bilgileri çalmak için.
Tehdit grubunu başlangıcından beri takip eden Grup-IB'ye göre, Kasım 2023'te özgeçmişler çalınan verileri telgraf kanalları aracılığıyla satmaya çalıştı.
Özgeçmişler, esas olarak iş arama ve perakende mağazaları olmak üzere hedeflenen alanları ihlal etmek için öncelikle SQL enjeksiyonu ve XSS kullanır.
Pen-test aşaması, aşağıdakiler gibi açık kaynaklı araçların kullanımını içeriyordu:
Hedef sitelerdeki güvenlik zayıflıklarını belirledikten ve kullandıktan sonra, özgeçmişler bir web sitesinin HTML'sinde çok sayıda yere kötü niyetli komut dosyaları enjekte eder.
Bu enjeksiyonların bazıları komut dosyasını tetiklemek için eklenecek, ancak form öğeleri veya çapa etiketleri gibi diğer yerler, aşağıda gösterildiği gibi enjekte edilen komut dosyasını görüntüler.
Ancak, uygun şekilde enjekte edildiğinde, ziyaretçilerin bilgilerini çalmak için kimlik avı formlarını görüntüleyen kötü niyetli bir uzaktan komut dosyası yürütülecektir.
Grup-IB ayrıca, saldırganların sahte işveren profilleri oluşturmak ve XSS komut dosyalarını içerecek sahte CV belgeleri yayınlamak gibi özel saldırı teknikleri kullandıkları durumları da gözlemledi.
Saldırganların OPSEC hatası sayesinde Grup-IB, çalınan verileri barındıran veritabanına sızmayı başardı ve saldırganların bazı tehlikeye atılan sitelerde yönetici erişimi kurmayı başardığını ortaya koydu.
Resumelooters, Çin na. Mes, yani "penetrasyon veri merkezi) ve" dünya verileri ali "(dünya veri ali) (sonra dünya veri ali) (daha sonra) en az iki telgrafla çalınan verileri diğer siber suçlulara satmaya çalışarak bu mali kazanç için bu saldırıları ortadan kaldırıyor, sonra
Grup-IB, saldırganların kökenini açıkça doğrulamasa da, Çince konuşan gruplarda çalıntı veri satan ve X-ışını gibi Çin araç sürümlerini kullanan özgeçmişler, Çin'den olmalarını oldukça muhtemel hale getirir.
Korunmasız eklenti aracılığıyla devralma riskinde 150k'den fazla WordPress sitesi
Keenan, yaz siber saldırısından sonra 1,5 milyon insan veri ihlali uyarıyor
DHS çalışanları, 200K ABD Hükümet İşçilerinin verilerini çaldığı için hapsedildi
Rus hackerlar Microsoft kurumsal e-postaları ay süren ihlalde çaldı
MGM Resorts Fidye yazılımı saldırısı 100 milyon dolarlık kayıp, veri hırsızlığına yol açtı
Kaynak: Bleeping Computer