Siber Muhbir

Singapur merkezli Group-IB, bilgisayar korsanlığı ekibinin faaliyetlerinin iş arama platformlarına ve özgeçmişlerin çalınmasına yönelik olduğunu ve Kasım 2023 ile Aralık 2023 arasında 65 kadar web sitesinin ele geçirildiğini söyledi.

Çalınan dosyaların 2.188.444 kullanıcı veri kaydı içerdiği tahmin ediliyor ve bunların 510.259'u iş arama web sitelerinden alındı. Veri kümesinde iki milyondan fazla benzersiz e-posta adresi bulunmaktadır.

Güvenlik araştırmacısı Nikita Rosovsev, paylaşılan bir raporda, "Tehdit aktörü, web sitelerine karşı SQL enjeksiyon saldırıları kullanarak, adları, telefon numaralarını, e-postaları ve DoB'leri içerebilecek kullanıcı veritabanlarının yanı sıra iş arayanların deneyimleri, istihdam geçmişi ve diğer hassas kişisel veriler hakkındaki bilgileri çalmaya çalışıyor" dedi.

"Çalınan veriler daha sonra tehdit aktörü tarafından Telegram kanallarında satışa çıkarılıyor."

Group-IB ayrıca, yönetici kimlik bilgilerini toplayabilen kimlik avı sayfalarını görüntülemekten sorumlu kötü amaçlı komut dosyalarını yüklemek için tasarlanmış en az dört meşru iş arama web sitesinde siteler arası komut dosyası (XSS) enfeksiyonlarının kanıtlarını ortaya çıkardığını söyledi.

ResumeLooters, GambleForce'un Aralık 2023'ün sonlarında kamuoyuna açıklanmasından bu yana APAC bölgesinde SQL enjeksiyon saldırıları düzenlediği tespit edilen ikinci bilgisayar korsanlığı grubudur.

Güvenliği ihlal edilen web sitelerinin çoğu Hindistan, Tayvan, Tayland, Vietnam, Çin, Avustralya ve Türkiye'de bulunuyor, ancak Brezilya, ABD, Türkiye, Rusya, Meksika ve İtalya'dan da güvenlik ihlalleri bildirildi.

ResumeLooters'ın çalışma şekli, SQL enjeksiyon saldırılarını gerçekleştirmek ve BeEF (Tarayıcı Sömürü Çerçevesi'nin kısaltması) sızma testi aracı ve hassas verileri toplamak ve kullanıcıları kimlik bilgisi toplama sayfalarına yönlendirmek için tasarlanmış sahte JavaScript kodu gibi ek yükleri bırakmak ve yürütmek için açık kaynaklı sqlmap aracının kullanılmasını içerir.

Siber güvenlik şirketinin tehdit aktörünün altyapısına ilişkin analizi, çalınan verileri barındıran bir klasörün yanı sıra Metasploit, dirsearch ve xray gibi diğer araçların varlığını ortaya koyuyor.

ResumeLooters'ın bilgileri satmak için geçen yıl itibariyle 渗透数据中心 ve 万国数据阿力 adlı iki Telegram kanalı kurduğu gerçeği göz önüne alındığında, kampanya finansal olarak motive olmuş görünüyor.

Rostovçev, "ResumeLooters, halka açık bir avuç araçla ne kadar zarar verilebileceğinin bir başka örneğidir" dedi. "Bu saldırılar, zayıf güvenliğin yanı sıra yetersiz veritabanı ve web sitesi yönetimi uygulamalarından kaynaklanıyor."

"En eski ancak son derece etkili SQL saldırılarından bazılarının bölgede nasıl yaygın olduğunu görmek çarpıcı. Bununla birlikte, ResumeLooters grubunun azmi, XSS saldırıları da dahil olmak üzere güvenlik açıklarından yararlanmanın çeşitli yöntemlerini denerken öne çıkıyor."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.