ResumeLooters викрадає дані шукачів роботи у В'єтнамі

Компанія з кібербезпеки Group-IB щойно оголосила, що хакерська група під назвою ResumeLooters викрала персональні дані понад 2 мільйонів шукачів роботи, проникнувши на 65 комерційних та веб-сайтів з працевлаштування за допомогою SQL- та XSS-атак.

Атаки були зосереджені на регіоні Азіатсько-Тихоокеанського регіону, спрямовані на веб-сайти в Австралії, Китаї, Таїланді, Індії, В'єтнамі тощо. ResumeLooters збирала імена, адреси електронної пошти, номери телефонів, історію зайнятості, рівень освіти та іншу відповідну інформацію про шукачів роботи. За даними Group-IB, злочинне угруповання було засноване в листопаді 2023 року та продавало викрадені дані через канали Telegram.

ResumeLooters переважно використовує інструменти з відкритим кодом, такі як SQLmap, Acunetix, Metasploit..., для атак через SQL та XSS з метою проникнення на веб-сайти роздрібної торгівлі та пошуку роботи. Після виявлення та використання вразливостей безпеки на веб-сайтах група впроваджує шкідливі команди в кілька місць у HTML-коді.

Після правильного впровадження виконується набір шкідливих скриптів для відображення фішингових форм з метою крадіжки інформації відвідувачів. Group-IB заявила, що спостерігала випадки використання хакерами спеціальних методів, таких як створення фальшивих профілів роботодавців та публікація підроблених резюме, що містять XSS-скрипти.

Group-IB змогла отримати доступ до викраденої бази даних через неправильну конфігурацію, при цьому зловмисники, як повідомляється, намагалися отримати доступ адміністратора до деяких скомпрометованих веб-сайтів. Хоча походження зловмисників не було підтверджено, ResumeLooters, як повідомляється, продавали дані китайськомовним групам, а також використовували китайські версії інструментів з відкритим кодом.