Uitzendbureaus en detailhandelsbedrijven, voornamelijk gevestigd in de regio Azië-Pacific (APAC), zijn het doelwit geweest van een voorheen ongedocumenteerde dreigingsspeler die bekend staat als CVLooters sinds begin 2023 met als doel gevoelige gegevens te stelen.
Het in Singapore gevestigde Group-IB zei dat de activiteiten van de hackploeg gericht zijn op platforms voor het zoeken naar werk en de diefstal van cv’s, waarbij tussen november 2023 en december 2023 maar liefst 65 websites zijn gecompromitteerd.
De gestolen bestanden bevatten naar schatting 2.188.444 gebruikersgegevens, waarvan 510.259 afkomstig zijn van websites voor het zoeken naar werk. Er zijn meer dan twee miljoen unieke e-mailadressen aanwezig in de dataset.
“Door SQL-injectieaanvallen op websites te gebruiken, probeert de bedreigingsacteur gebruikersdatabases te stelen die namen, telefoonnummers, e-mails en DoB’s kunnen bevatten, evenals informatie over de ervaring van werkzoekenden, hun arbeidsverleden en andere gevoelige persoonlijke gegevens”, zegt hij. zei beveiligingsonderzoeker Nikita Rostovcev in een rapport gedeeld met The Hacker News.
“De gestolen gegevens worden vervolgens door de dreigingsactor te koop aangeboden in Telegram-kanalen.”
Group-IB zei dat het ook bewijs heeft gevonden van cross-site scripting (XSS)-infecties op ten minste vier legitieme vacaturesites die zijn ontworpen om kwaadaardige scripts te laden die verantwoordelijk zijn voor het weergeven van phishing-pagina’s die beheerdersreferenties kunnen verzamelen.
ResumeLooters is na GambleForce de tweede groep die sinds eind december 2023 SQL-injectieaanvallen uitvoert in de APAC-regio.
Het merendeel van de gecompromitteerde websites is gevestigd in India, Taiwan, Thailand, Vietnam, China, Australië en Turkije, hoewel er ook compromissen zijn gemeld uit Brazilië, de VS, Turkije, Rusland, Mexico en Italië.
De modus operandi van ResumeLooters omvat het gebruik van de open-source sqlmap-tool om SQL-injectieaanvallen uit te voeren en extra payloads te droppen en uit te voeren, zoals de BeEF (afkorting van Browser Exploitation Framework) penetratietesttool en frauduleuze JavaScript-code die is ontworpen om gevoelige gegevens te verzamelen. en gebruikers omleiden naar pagina’s voor het verzamelen van inloggegevens.
De analyse van het cyberbeveiligingsbedrijf van de infrastructuur van de bedreigingsacteur onthult de aanwezigheid van andere tools zoals Metasploit, dirsearch en xray, naast een map waarin de gestolen gegevens worden gehost.
De campagne lijkt financieel gemotiveerd, gezien het feit dat ResumeLooters vorig jaar twee Telegram-kanalen heeft opgezet, genaamd 渗透数据中心 en 万国数据阿力, om de informatie te verkopen.
“ResumeLooters is nog een voorbeeld van hoeveel schade kan worden aangericht met slechts een handvol openbaar beschikbare tools”, zei Rostovcev. “Deze aanvallen worden veroorzaakt door slechte beveiliging en ontoereikende database- en websitebeheerpraktijken.”
“Het is opvallend om te zien hoe enkele van de oudste maar opmerkelijk effectieve SQL-aanvallen nog steeds wijdverspreid zijn in de regio. De vasthoudendheid van de ResumeLooters-groep valt echter op als ze experimenteren met diverse methoden om kwetsbaarheden te exploiteren, waaronder XSS-aanvallen.”
