Группа ResumeLooters осуществляет кибератаки на сайты, используя XSS-скрипты и SQL-инъекции для доступа к личным данным и резюме соискателей работы.
Исследователи Group-IB обнаружили, что более 65 веб-сайтов были взломаны с помощью таких атак с ноября по декабрь 2023 года. Злоумышленники используют SQL-инъекции, чтобы получить доступ к базам данных пользователей и похитить конфиденциальные личные данные, включая имена, номера телефонов, адреса электронной почты и информацию о трудовом опыте. Похищенные данные продаже в каналах Telegram. Expert.ai отмечает, что были также обнаружены следы межсайтовых скриптов (XSS) на легитимных сайтах по поиску работы, которые загружали дополнительные вредоносные скрипты и отображали фишинговые формы. Большинство атак ResumeLooters были направлены на Азиатско-Тихоокеанский регион, однако также были зафиксированы взломы в компаниях по всему миру.
- Обнаруженная Group-IB, группировка ResumeLooters действует с начала 2023 года.
- В период с ноября по декабрь 2023 года банда успешно провела SQL-инъекции и межсайтовые скриптинговые (XSS) атаки на рекрутинговые и розничные веб-сайты в Азиатско-Тихоокеанском регионе.
- В основном банда действовала в Индии (12 жертв), Тайване (10), Таиланде (9) и Вьетнаме (7).
- Используя SQL-инъекции, группировка похитила данные с 65 сайтов. Похищенные файлы содержали в общей сложности 2 188 444 строки, из которых 510 259 были пользовательскими данными, украденными с сайтов по поиску работы.
- На вредоносных серверах группировки были обнаружены различные инструменты тестирования на проникновение, включая sqlmap, Acunetix, Beef Framework, X-Ray, Metasploit, ARL (Asset Reconnaissance Lighthouse) и Dirsearch.
- Основной вектор действий группы - SQL-инъекции через sqlmap. Еще одной техникой, замеченной Group-IB в этой кампании, была инъекция XSS-скриптов на легитимные веб-сайты по поиску работы.
- Анализ похищенных HTML-файлов позволяет предположить, что вредоносный XSS-скрипт был выполнен как минимум на четырех сайтах. Некоторые HTML-файлы обнаруживают наличие XSS-скрипта, встроенного в HTML-код. Судя по всему, XSS-скрипт был выполнен на некоторых устройствах с административным доступом.
- ResumeLooters пытались вставить XSS-скрипты во все возможные веб-формы целевых сайтов, надеясь, что они отобразят фишинговые формы для получения учетных данных администратора.
- Аккаунты злоумышленников и объявления о продаже скомпрометированных данных были обнаружены в китайскоязычных хакерских тематических группах Telegram.
Indicators of Compromise
IPv4
- 139.180.137.107
- 139.84.130.232
- 139.84.168.189
- 139.84.62.151
- 173.199.122.65
Domains
- 7o.ae
- 8r.ae
- 8t.ae
- 9gp.cc
- admin.cloudnetsofe.com
- qu3.cc
- Recruit.iimjobs.asia
- recruiter.foundit.asia
- sb8.co
URLs
- http://139.180.137.107:9932/shell3.exe
- http://139.84.130.232:8080/CcrN3QqWOeRx
- http://139.84.130.232:8080/CcrN3QqWOeRx/iDDHJOuzw/1
- http://139.84.130.232:8080/CcrN3QqWOeRx/KAGctYUci