ResumeLooters APT IOCs

security IOC
Опубликовано

Группа ResumeLooters осуществляет кибератаки на сайты, используя XSS-скрипты и SQL-инъекции для доступа к личным данным и резюме соискателей работы.

Исследователи Group-IB обнаружили, что более 65 веб-сайтов были взломаны с помощью таких атак с ноября по декабрь 2023 года. Злоумышленники используют SQL-инъекции, чтобы получить доступ к базам данных пользователей и похитить конфиденциальные личные данные, включая имена, номера телефонов, адреса электронной почты и информацию о трудовом опыте. Похищенные данные продаже в каналах Telegram. Expert.ai отмечает, что были также обнаружены следы межсайтовых скриптов (XSS) на легитимных сайтах по поиску работы, которые загружали дополнительные вредоносные скрипты и отображали фишинговые формы. Большинство атак ResumeLooters были направлены на Азиатско-Тихоокеанский регион, однако также были зафиксированы взломы в компаниях по всему миру.

  • Обнаруженная Group-IB, группировка ResumeLooters действует с начала 2023 года.
  • В период с ноября по декабрь 2023 года банда успешно провела SQL-инъекции и межсайтовые скриптинговые (XSS) атаки на рекрутинговые и розничные веб-сайты в Азиатско-Тихоокеанском регионе.
  • В основном банда действовала в Индии (12 жертв), Тайване (10), Таиланде (9) и Вьетнаме (7).
  • Используя SQL-инъекции, группировка похитила данные с 65 сайтов. Похищенные файлы содержали в общей сложности 2 188 444 строки, из которых 510 259 были пользовательскими данными, украденными с сайтов по поиску работы.
  • На вредоносных серверах группировки были обнаружены различные инструменты тестирования на проникновение, включая sqlmap, Acunetix, Beef Framework, X-Ray, Metasploit, ARL (Asset Reconnaissance Lighthouse) и Dirsearch.
  • Основной вектор действий группы - SQL-инъекции через sqlmap. Еще одной техникой, замеченной Group-IB в этой кампании, была инъекция XSS-скриптов на легитимные веб-сайты по поиску работы.
  • Анализ похищенных HTML-файлов позволяет предположить, что вредоносный XSS-скрипт был выполнен как минимум на четырех сайтах. Некоторые HTML-файлы обнаруживают наличие XSS-скрипта, встроенного в HTML-код. Судя по всему, XSS-скрипт был выполнен на некоторых устройствах с административным доступом.
  • ResumeLooters пытались вставить XSS-скрипты во все возможные веб-формы целевых сайтов, надеясь, что они отобразят фишинговые формы для получения учетных данных администратора.
  • Аккаунты злоумышленников и объявления о продаже скомпрометированных данных были обнаружены в китайскоязычных хакерских тематических группах Telegram.

Indicators of Compromise

IPv4

  • 139.180.137.107
  • 139.84.130.232
  • 139.84.168.189
  • 139.84.62.151
  • 173.199.122.65

Domains

  • 7o.ae
  • 8r.ae
  • 8t.ae
  • 9gp.cc
  • admin.cloudnetsofe.com
  • qu3.cc
  • Recruit.iimjobs.asia
  • recruiter.foundit.asia
  • sb8.co

URLs

  • http://139.180.137.107:9932/shell3.exe
  • http://139.84.130.232:8080/CcrN3QqWOeRx
  • http://139.84.130.232:8080/CcrN3QqWOeRx/iDDHJOuzw/1
  • http://139.84.130.232:8080/CcrN3QqWOeRx/KAGctYUci
Похожие записи:
  1. APT41 APT IOCs
  2. OPERA1ER APT IOCs
  3. Sticky Werewolf APT IOCs
  4. GambleForce APT IOCs
  5. BlackCat (BlackMatter) APT IOC
APT Group-IB ResumeLooters
SEC-1275-1
Добавить комментарий